近期，阿里云云安全中心基于全新的深度威脅檢測(cè)功能，監(jiān)測(cè)到云上部分用戶的 SQL Server 數(shù)據(jù)庫內(nèi)部隱藏著一種新型的持久化后門程序。

攻擊者利用弱口令不嚴(yán)謹(jǐn)配置，以非常簡單的攻擊方法進(jìn)入數(shù)據(jù)庫，即可植入該后門，更致命的是，該后門高度隱蔽和持久化控制的特性，讓發(fā)現(xiàn)和清除變得困難。

威 脅 特 點(diǎn)

植入簡單

利用數(shù)據(jù)庫弱密碼或不嚴(yán)謹(jǐn)配置，攻擊者只需簡單的弱口令利用，即可輕松登錄進(jìn)用戶的數(shù)據(jù)庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部，無文件落地、無額外進(jìn)程，運(yùn)維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續(xù)不斷地向云主機(jī)內(nèi)部植入挖礦病毒等其他惡意程序，使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復(fù)和已有惡意文件查殺根本無法實(shí)現(xiàn)對(duì)惡意程序來源的清除，即使重啟數(shù)據(jù)庫服務(wù)、甚至重啟云主機(jī)，由于真正的隱藏后門沒有完全清除，還是會(huì)有病毒源源不斷的被植入主機(jī)。

攻 擊 流 程

• 攻擊者利用某些應(yīng)用程序供應(yīng)商的數(shù)據(jù)庫默認(rèn)密碼及不嚴(yán)謹(jǐn)配置入侵SQL Server數(shù)據(jù)庫;
• 在登入數(shù)據(jù)庫后，創(chuàng)建SQL Server代理作業(yè)周期性執(zhí)行SQL語句調(diào)用惡意的用戶自定義函數(shù);
• 用一種特殊的方式將惡意代碼以CLR程序集的形式加載進(jìn)數(shù)據(jù)庫，實(shí)現(xiàn)通過用戶自定義函數(shù)調(diào)用惡意的CLR程序集;
• 已創(chuàng)建的SQL Server代理作業(yè)自動(dòng)周期性的調(diào)用惡意CLR程序集，實(shí)現(xiàn)惡意代碼持久化。

威 脅 分 析

傳統(tǒng)的持久化技術(shù)、惡意代碼加載方式早已被所有主機(jī)安全產(chǎn)品列為重點(diǎn)監(jiān)控范圍，很容易被發(fā)現(xiàn)并清除掉：

• 利用操作系統(tǒng)內(nèi)置的計(jì)劃任務(wù)、系統(tǒng)服務(wù)、自啟動(dòng)項(xiàng)等方式進(jìn)行持久化;
• 直接在磁盤上放置惡意程序文件; 
•  利用系統(tǒng)內(nèi)置的工具程序加載惡意代碼到內(nèi)存中執(zhí)行。

不同的是，此次新型惡意程序?qū)煞NSQL Server內(nèi)置功能巧妙結(jié)合用于惡意軟件持久化，實(shí)現(xiàn)了在無文件落地、無額外進(jìn)程的情況下保持對(duì)云主機(jī)的持久化控制，將惡意活動(dòng)完全隱藏在用戶正常業(yè)務(wù)所需要的SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部。

那么，這一惡意程序是怎么做到的呢?

利用代理作業(yè)實(shí)現(xiàn)無異常周期性循環(huán)執(zhí)行

SQL Server代理作業(yè)原本的用途是方便用戶進(jìn)行數(shù)據(jù)庫運(yùn)維，通過設(shè)置執(zhí)行計(jì)劃和執(zhí)行步驟來實(shí)現(xiàn)周期性的執(zhí)行腳本程序或SQL語句。以往會(huì)利用此功能的攻擊者或惡意軟件會(huì)直接用代理作業(yè)執(zhí)行一段惡意命令或惡意腳本，極易被運(yùn)維管理員發(fā)現(xiàn)。

但是該后門的實(shí)施者，在創(chuàng)建代理作業(yè)后，僅執(zhí)行了一句很短的SQL語句，將后門隱藏在另一個(gè)用戶自定義函數(shù)SqlManagement背后，隱蔽性很強(qiáng)。

作業(yè)名稱 ：

syspolicy_sqlmanagement_history