【安全资讯】新攻击活动利用GotoHTTP进行远程访问攻击MS-SQL服务器

概要：

专家在MS-SQL服务器上发现了一种新的攻击活动，该活动目标为不安全账户和弱密码。攻击中使用了合法的远程管理工具GotoHTTP，这是在此类操作中鲜见的选择。通过此攻击，攻击者尝试绕过常见安全措施，获得对系统的全面控制。

主要内容：

最近，AhnLab安全情报中心的专家揭示了针对MS-SQL服务器的新攻击活动。攻击者首先使用CLR SqlShell工具来控制受感染的系统，该工具允许执行系统命令，以获取主机信息。通过使用如“whoami.exe”和“systeminfo.exe”等命令，攻击者能够搜集设备和网络情报。接下来的攻击阶段中，攻击者尝试使用Privilege Escalation工具如PetitPotato和SweetPotato，绕过系统的低权限限制，提升访问权限。此外，攻击者会创建新账户，并设定强密码以便未来继续访问。同时，他们安装GotoHTTP程序以远程控制服务器，利用生成的配置文件，通过“计算机ID”和“访问代码”来实现远程图形界面控制。

攻击者的主要策略是利用现有合法工具而非开发新的恶意软件，这种方法能够有效逃避安全措施的监控，因为像AnyDesk这样的工具通常不会被标记为威胁。攻击主要针对使用弱密码的MS-SQL服务器，攻击者可以进行暴力破解或字典攻击。专家建议使用复杂且经常更换的密码，及时更新杀毒软件，以及通过防火墙等措施限制服务器访问。当前不断增加的MS-SQL服务器攻击警示了加强系统安全的紧迫性。