解密新型SQL Server数据库无文件持久化恶意程序的问题

近期，阿里云云安全中心基于全新的深度威胁检测功能，监测到云上部分用户的 SQL Server 数据库内部隐藏着一种新型的持久化后门程序。

攻击者利用弱口令不严谨配置，以非常简单的攻击方法进入数据库，即可植入该后门，更致命的是，该后门高度隐蔽和持久化控制的特性，让发现和清除变得困难。

威 胁 特 点

植入简单

利用数据库弱密码或不严谨配置，攻击者只需简单的弱口令利用，即可轻松登录进用户的数据库植入该后门程序;

高度隐蔽

该后门完全隐藏在SQL Server数据库进程内部，无文件落地、无额外进程，运维管理人员很难定位到后门真正所在;

持久化控制

该恶意后门持续不断地向云主机内部植入挖矿病毒等其他恶意程序，使管理员陷入病毒杀不完、怀疑有漏洞的困境;

查杀困难

简单的弱口令漏洞修复和已有恶意文件查杀根本无法实现对恶意程序来源的清除，即使重启数据库服务、甚至重启云主机，由于真正的隐藏后门没有完全清除，还是会有病毒源源不断的被植入主机。

攻 击 流 程

• 攻击者利用某些应用程序供应商的数据库默认密码及不严谨配置入侵SQL Server数据库;
• 在登入数据库后，创建SQL Server代理作业周期性执行SQL语句调用恶意的用户自定义函数;
• 用一种特殊的方式将恶意代码以CLR程序集的形式加载进数据库，实现通过用户自定义函数调用恶意的CLR程序集;
• 已创建的SQL Server代理作业自动周期性的调用恶意CLR程序集，实现恶意代码持久化。

威 胁 分 析

传统的持久化技术、恶意代码加载方式早已被所有主机安全产品列为重点监控范围，很容易被发现并清除掉：

• 利用操作系统内置的计划任务、系统服务、自启动项等方式进行持久化;
• 直接在磁盘上放置恶意程序文件; 
•  利用系统内置的工具程序加载恶意代码到内存中执行。

不同的是，此次新型恶意程序将两种SQL Server内置功能巧妙结合用于恶意软件持久化，实现了在无文件落地、无额外进程的情况下保持对云主机的持久化控制，将恶意活动完全隐藏在用户正常业务所需要的SQL Server数据库进程内部。

那么，这一恶意程序是怎么做到的呢?

利用代理作业实现无异常周期性循环执行

SQL Server代理作业原本的用途是方便用户进行数据库运维，通过设置执行计划和执行步骤来实现周期性的执行脚本程序或SQL语句。以往会利用此功能的攻击者或恶意软件会直接用代理作业执行一段恶意命令或恶意脚本，极易被运维管理员发现。

但是该后门的实施者，在创建代理作业后，仅执行了一句很短的SQL语句，将后门隐藏在另一个用户自定义函数SqlManagement背后，隐蔽性很强。

作业名称 ：

syspolicy_sqlmanagement_history