MS-SQL 伺服器遭鎖定:駭客用合法 BCP 工具植入掃描器,離地攻擊避開所有偵測
title: "MS-SQL 伺服器遭鎖定:駭客用合法 BCP 工具植入掃描器,離地攻擊避開所有偵測" date: 2026-03-29 source: https://www.ithome.com.tw/news/174693 category: articles tags:
- 資安
- MS-SQL
- 離地攻擊
- 勒索軟體
- 資料庫安全 created: 2026-03-29 updated: 2026-03-29
MS-SQL 伺服器遭鎖定:駭客用合法 BCP 工具植入掃描器,離地攻擊避開所有偵測
原文摘要
南韓資安業者 AhnLab 發現,Microsoft SQL Server 今年初遭駭客組織 Larva-26002 鎖定,利用合法工具 BCP 在系統內植入掃描工具 ICE Cloud Client。
攻擊手法
初始入侵
- 透過暴力破解帳號進入曝露在網際網路的 MS-SQL 伺服器
- 管理不當、直接暴露在外網的 MS-SQL 是主要目標
離地攻擊(Living Off-the-Land)
- 利用 BCP(Bulk Copy Program)——這是 MS-SQL 內建的合法大量資料匯出匯入工具
- 用 BCP 將掃描程式 ICE Cloud 寫入伺服器磁碟
- 因為是合法工具,傳統下載偵測完全無法發現
ICE Cloud 掃描器
- 用 Go 語言撰寫
- 啟動後連線外部 C2 伺服器
- 掃描內部環境
- 嘗試與其他 MS-SQL 伺服器驗證
- 將 MS-SQL 伺服器 IP 清單傳送出去
- 可被當成跳板或進行蠕蟲擴散攻擊
Larva-26002 組織背景
- 2024 年 1 月被發現
- 曾散布 Trigona 和 Mimic 勒索軟體
- 安裝 AnyDesk、Teramind 等遠端存取程式
- 使用的字串為土耳其文
防範建議
- 確保 MS-SQL 伺服器無法被暴力破解(強密碼、帳號鎖定策略)
- 資料庫若必須開放外部存取,必須用防火牆防護
- 驗證和防毒措施升級到最新版本
核心觀點
1. 離地攻擊是最難防的攻擊類型
BCP 是 MS-SQL 的合法內建工具,就像 PowerShell 一樣——你不能禁用它,但攻擊者可以拿它來做壞事。傳統的「偵測異常下載」完全無效。
2. 暴露在外網的資料庫是原罪
這不是什麼高級零日漏洞,就是「MS-SQL 直接對外 + 弱密碼」。最基本的安全措施(防火牆 + 強密碼)就能防住絕大部分。
3. 和上面 WebRTC 側錄攻擊是同一個趨勢
攻擊者越來越善於利用「合法管道」(WebRTC、BCP)來繞過偵測。資安防護不能只看「是不是惡意程式」,要看「合法工具有沒有被異常使用」。