微软：警惕针对 MSSQL 服务器的暴力攻击

据报道称，微软务器微软正对使用Microsoft SQL Server (MSSQL) 数据库服务器的警惕击用户发出安全警告
，警惕攻击者利用弱密码对暴露在网络上的针对 MSSQL发动暴力攻击 。

这已经不是力攻MSSQL服务器第一次成为此类攻击的目标，但微软安全情报团队透露 ，微软务器最近观察到的警惕击这次活动背后的亿华云攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击
，living-off-the-land binary的针对缩写)二进制文件来运行侦察命令，并将 SQL 服务的力攻启动模式更改为 LocalSystem 来实现无文件持久性。

攻击者还使用 sqlps.exe 创建新帐户，微软务器并将其添加到 sysadmin 角色中，警惕击使他们能够完全控制 SQL 服务器，针对获得执行其他操作的免费模板力攻权限
，包括部署像挖矿木马这样的微软务器有效负载 。

由于sqlps是警惕击Microsoft SQL Server 附带的一个实用程序，它允许将 SQL Server cmdlet 作为 LOLBin 加载，针对使攻击者能够执行 PowerShell 命令，而不必担心防御系统检测到他们的恶意行为 。高防服务器sqlps还会让这些攻击不留下任何痕迹
，因为使用 sqlps 是绕过脚本块日志记录的有效方法 ，这是一种 PowerShell 功能，否则会将 cmdlet 操作记录到 Windows 事件日志中。

多年来，MSSQL 服务器一直是大规模攻击活动的源码库主要目标之一 ，攻击者每天都会试图劫持数千台易受攻击的服务器 。在近两年的攻击事件中，攻击者通过暴力破解，在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中，源码下载攻击者针对 MSSQL 服务器部署了Gh0stCringe(又名 CirenegRAT)远程访问木马 。

为了保护 MSSQL 服务器免受此类攻击，微软建议对服务器使用不容易被破解的强密码，并确保服务器始终处在防火墙的保护之下，不要被暴露至公开的互联网络环境中。