文章总结： 针对SQLServer的勒索软件攻击激增，攻击者多利用弱口令、CVE系列漏洞及CobaltStrike等工具入侵。建议企业立即实施强密码策略、IP白名单限制、修补关键漏洞、禁用高危功能并遵循3-2-1备份规则，通过数据库防火墙与网络隔离防护以规避数据勒索风险。 综合评分： 87 文章分类： 威胁情报,漏洞预警,解决方案,数据安全,应急响应

SQL Server数据库，漏洞利用与数据勒索风险急剧增加

安融技术

安融技术

2026年1月6日 11:38 广东

近期，网络安全监测数据显示，针对Microsoft SQL Server数据库的网络攻击呈现显著上升趋势，特别是利用已知漏洞实施入侵并索要赎金的勒索软件攻击。根据安全监测报告，仅2025年，针对暴露在互联网上的SQL Server实例的攻击尝试就增长了超过300%，其中Mallox、Trigona等勒索软件家族尤为活跃。

当前SQL Server攻击的三大趋势 ：攻击工具链高度集成化、从入侵到勒索的周期缩短、重点针对暴露面管理不善的服务器。建议企业立即检查数据库公网暴露情况，实施严格的IP白名单和强密码策略。

主要攻击手法分析

1. 暴力破解与凭证攻击

攻击者通过扫描开放TCP 1433端口的数据库服务器，利用弱口令和字典攻击破解sa等管理员账户。安全研究人员发现，超过60%的成功入侵源于暴力破解极易猜到的账户凭据。一旦获得管理员权限，攻击者立即部署恶意工具，为后续勒索做准备。

2. 漏洞利用链

攻击者主要利用以下高危漏洞：

CVE-2019-1068：Microsoft SQL Server远程代码执行漏洞

CVE-2020-0618：SQL Server Reporting Services中的RCE漏洞

CVE-2025-49718 Microsoft SQL Server 信息泄露漏洞

Log4j漏洞（CVE-2021-44228）：通过数据库相关应用实施供应链攻击

Mallox勒索软件组织特别关注未修补的旧漏洞实例，结合暴力攻击手段，对制造业、零售、法律等行业造成大规模影响。

3. 恶意工具部署

成功入侵后，攻击者通常植入：

CLR Shell：类似xp_cmdshell的恶意CLR汇编程序，用于执行系统命令

Cobalt Strike信标：建立持久化后门，支持键盘记录、凭据窃取和横向移动

勒索软件投递器：将勒索软件注册为系统服务，确保重启后自动执行加密操作

典型攻击流程

攻击通常遵循以下模式：

1. 侦察扫描：识别暴露的SQL Server实例

2. 初始访问：通过暴力破解或漏洞利用获取sa权限

3. 权限提升：利用Windows服务漏洞提升至LocalSystem权限

4. 持久化：部署后门工具并创建自启动项

5. 数据加密：禁用卷影复制服务，加密数据库文件（.mdf/.ldf）及备份

6. 勒索威胁：留下勒索信，要求加密货币支付赎金

攻击共性特征

防护与应对建议

紧急加固措施：

立即修改所有弱密码，特别是sa账户，使用16位以上复杂密码

限制网络访问：通过防火墙仅允许可信IP访问1433端口

启用审计日志：监控所有数据库登录和异常操作

及时补丁更新：修复CVE-2019-1068、CVE-2020-0618等关键漏洞

长期安全策略：

实施3-2-1备份规则：3份备份，2种不同存储介质，1份离线保存

部署数据库防火墙：检测并拦截异常查询和暴力破解行为

禁用不必要功能：如xp_cmdshell、CLR集成等高危功能

网络隔离：将数据库服务器置于内部网络，避免直接互联网暴露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安融技术 安融技术《SQL Server数据库，漏洞利用与数据勒索风险急剧增加》