商业通讯
请输入关键词
  • 首页
  • 资讯
  • 科技
  • 财商
  • 汽车
  • 家电
  • 生活
 > 科技

Solar应急响应团队:一次管家婆漏洞事件,揭开 AI 自动化漏洞审计与勒索攻击的新趋势

发布于:2026-07-09 16:49:02 来源:互联网

           一个没有开放数据库端口的内网,一个密码足够复杂的数据库账号,一台没有任何Web漏洞的服务器——却在一夜之间被勒索病毒加密了全部文件。

           更诡异的是,所有日志干干净净,没有任何入侵痕迹。

           仿佛黑客是“隔空取物”。

           这不是电影情节。过去几个月,Solar安全应急响应团队连续处置了多起这样的“幽灵入侵”事件。受害者有一个惊人的共同点:他们都装了管家婆。

           一、一个被所有人忽视的端口

           管家婆系列软件(辉煌Ⅱ、TOP+、ERP等)是国内中小企业最常用的进销存管理工具之一。装机量巨大,几乎覆盖了制造业、零售业、批发业的半壁江山。

           我们在多起案例中发现:受害企业的服务器上,都有一个211端口默默对外开放。

           这个端口不是网站,不是数据库,而是管家婆客户端连接服务端的“数据中转站”——一个基于Delphi MIDAS协议的Socket通信服务。

           绝大多数运维人员根本不知道它的存在,更不会想到要封它。

           但黑客知道。

           二、无需密码,无需客户端,直达最高权限

           211端口上的服务没有任何认证机制。任何人只要能TCP连上这个端口,就能直接调用服务端的核心方法——包括执行任意SQL语句。

           更具体地说:

           ·不需要用户名密码(连接阶段没有鉴权)

           ·不需要管家婆客户端(用一段Python脚本即可)

           ·不需要知道数据库密码(借用管家婆自己的sa连接)

           ·不需要数据库端口开放(命令从应用内部发出)

           攻击者只需连上211端口,经过简单的握手协议,就能以数据库最高权限(sa)执行系统命令,最终获得Windows SYSTEM权限——这是操作系统的最高权限。

           从连接到完全控制,全程不产生任何登录日志。

           三、为什么传统安全设备全部失灵

           这个漏洞之所以“完美”,是因为它精准地避开了所有常规检测手段:

           不是没被攻击,是这条路天生不留脚印。

           四、更可怕的趋势:AI正在帮黑客批量挖洞

           让我们真正担忧的不只是这一个漏洞,而是背后的趋势。

           管家婆系列软件的安装包在互联网上可以公开下载。我们观察到,Weaxor和Tellyouthepass两个勒索家族正在快速横向扩展攻击目标——从管家婆辉煌到物联通,再到ERP,几乎都是以0day(官方未修复的全新漏洞)作为突破口。

           从下载安装包到漏洞被武器化投入实战,这个周期被压缩到了令人不安的程度。

           我们不得不做出一个严肃判断:勒索组织可能已经在用AI进行自动化漏洞审计。

           这意味着,过去需要高水平黑客花数周完成的漏洞挖掘,现在可能只需要几天甚至几小时。“下载软件→AI审计→发现漏洞→武器化→批量投放”的闭环正在形成。

           五、这不只是管家婆的问题

           在研究过程中,我们对同网段做了211端口扫描,一次就发现4台不同的应用服务器暴露了同样的MIDAS服务。它们来自不同的厂商、不同的产品线,但底层都用了同一套Delphi Socket Server架构。

           结论:任何使用“Delphi MIDAS + scktsrvr + 无认证”架构的应用,都可能存在同类漏洞。管家婆只是冰山一角——它暴露量最大,所以最先被盯上。

           攻击者手里已经有了一本“CLSID字典”,能精准识别211端口背后是什么应用,然后对号入座地打。

           六、你现在应该做什么

           今天就做:

           ·检查你的服务器是否有211端口对公网开放(netstat -an | findstr 211)

           ·如果有,立即在防火墙/安全组封掉211的公网访问,仅允许内网可信IP

           本周内做:

           ·联系管家婆官方获取修复版本的scktsrvr.exe

           ·禁用SQL Server的xp_cmdshell和Ole Automation Procedures

           ·检查SQL Server服务账户权限,不要用LocalSystem运行

           持续做:

           ·在211端口流量上部署协议级监测

           ·关注SQL Server的sp_configure变更事件

           ·如果已经被加密过一次,恢复前务必彻底清除后门并封堵211——否则攻击者会再来

           七、写在最后

           这篇文章的目的不是制造恐慌,而是填补一个信息差。

           在我们处置的案例中,没有一家企业的运维人员知道211端口意味着什么。他们做了该做的一切——复杂密码、关闭数据库端口、部署防火墙——但还是被“隔空”打穿了。

           安全的敌人不是疏忽,是盲区。

           如果你的公司或者你客户的公司在用管家婆,或者在用任何基于Delphi开发的C/S架构软件,请把这篇文章转给负责IT的同事。5分钟的操作,可能避免一次让公司停摆的勒索事件。

 

本文基于思而听安全 | Solar应急响应团队

实战案例与逆向研究

所有结论经靶场验证,技术细节供安全同行复测参考

关注思而听,获取更多一线安全情报与防御指南

上一篇:实测乐瓜睡觉抱枕:8小时睡眠后,“调养护”到底在养护什么?

下一篇:

热门文章

  • 纽曼户外电源出海中亚热卖 极海传媒海外推广助推“用电自由梦”

    2025-04-29
  • 云顶新耀"摘B"成功 盈利能力与创新价值获双重验证

    2025-04-22
  • 斯坦德工业具身机器人携手国际先进技术应用推进中心(深圳), 共筑具身智能产业创新生态

    2025-05-10
  • 2025年厦门用户大会丨ManageEngine卓豪:AI赋能运维,智启未来新程

    2025-04-25
  • 汽车电池新突破!钠离子电池为何能驯服‘油老虎’?

    2025-11-17
  • 光影重构真实美学,大朋AI眼镜将带来“第一视角”新体验

    2025-04-29

本站部分文字及图片均来自于网络,如有侵权请及时联系删除处理

Copyright ©2023-2024 商业通讯.Powered by © hubeizhichuang.com