Tehdit analistleri, savunmasız Microsoft SQL Sunucularına Cobalt Strike işaretleri yükleyen ve daha derin sızmalara ve ardından kötü amaçlı yazılım bulaşmalarına yol açan yeni bir saldırı dalgası gözlemledi.
MS-SQL Server, büyük internet uygulamalarını küçük tek sistemli uygulamalara güç sağlayan popüler bir veritabanı yönetim sistemidir.
Ancak, bu dağıtımların çoğu zayıf parolalarla herkese açık olarak İnternete maruz kaldıkları için yeterince güvenli değiller ve Ahn Lab’ın ASEC tarafından hazırlanan bir rapora göre, bilinmeyen bir tehdit aktörü bundan yararlanıyor.
Kobalt Strike ile MS-SQL’i Hedefleme
Saldırılar, muhtemelen halka açık MS-SQL sunucuları olan açık bir TCP bağlantı noktası 1433 olan sunucuları tarayan tehdit aktörleriyle başlar. Saldırgan daha sonra parolayı kırmak için kaba kuvvet ve sözlük saldırıları gerçekleştirir. Saldırının her iki yöntemle de çalışması için hedef parolanın zayıf olması gerekir.
Saldırgan yönetici hesabına erişip sunucuya giriş yaptığında, ASEC araştırmacıları onların aşağıdaki gibi madeni para madencilerini düşürdüklerini gördüler. limonlu ördek, KingMiner ve Vollgar. Ek olarak, tehdit aktörü, kalıcılığı sağlamak ve yanal hareket gerçekleştirmek için sunucuyu Cobalt Strike ile arka kapıya açar.
Cobalt Strike, güvenliği ihlal edilmiş MS-SQL’e bir komut kabuğu işlemi (cmd.exe ve powershell.exe) aracılığıyla indirilir ve algılamadan kaçınmak için MSBuild.exe’ye enjekte edilir ve yürütülür.
Yürütmeden sonra, meşru Windows wwanmm.dll işlemine bir işaret verilir ve bir sistem kitaplığı dosyasında gizli kalırken saldırganın komutlarını bekler.
“Saldırganın komutunu alan ve kötü niyetli davranışı gerçekleştiren işaret, şüpheli bir bellek alanında bulunmadığından ve bunun yerine normal wwanmm.dll modülünde çalıştığından, bellek tabanlı algılamayı atlayabilir” diye açıklıyor. rapor Ahn Lab’ın ASEC grubu tarafından.
Cobalt Strike, güçlü özelliklerini kötü niyetli operasyonları için özellikle yararlı bulan siber suçlular tarafından yaygın olarak kötüye kullanılan ticari bir kalem testi (saldırı amaçlı güvenlik) aracıdır.
Lisans başına 3.500 dolarlık araç, etik bilgisayar korsanlarına ve kırmızı ekiplerin güvenlik duruşlarını artırmak isteyen kuruluşlara karşı gerçek saldırıları simüle etmesine yardımcı olmak için tasarlandı, ancak kırık sürümlerin sızdırıldığı andan itibaren, tehdit aktörleri tarafından kullanımı kontrolden çıktı.
Artık tarafından kullanılıyor sincap waffle, ifade, kötü amaçlı yazılım operatörleri, fırsatçı saldırılar, Linux hedefleme grupları, sofistike düşmanlarve genellikle tarafından fidye yazılımı çeteleri saldırılar gerçekleştirirken.
Tehdit aktörlerinin onu bu kadar çok kötüye kullanmalarının nedeni, aşağıdakileri içeren zengin işlevselliğidir:
- Komut yürütme
- tuş günlüğü
- Dosya işlemleri
- SOCKS proxy’si
- Ayrıcalık yükseltme
- Mimikatz (kimlik bilgilerini çalma)
- bağlantı noktası taraması
Ayrıca, “beacon” olarak adlandırılan Cobalt Strike aracısı dosyasız kabuk kodudur, bu nedenle özellikle kötü yönetilen sistemlerde güvenlik araçları tarafından algılanma şansı azalır.
AhnLab’ın verileri, son saldırı dalgasını destekleyen tüm indirme URL’lerinin ve C2 sunucusu URL’lerinin aynı saldırganı işaret ettiğini gösteriyor.
MS-SQL sunucunuzu bu tür saldırılara karşı korumak için güçlü bir yönetici parolası kullanın, sunucuyu bir güvenlik duvarının arkasına yerleştirin, her şeyi günlüğe kaydedin ve şüpheli eylemleri izleyin, mevcut güvenlik güncellemelerini uygulayın ve politikaları incelemek ve uygulamak için bir veri erişim denetleyicisi kullanın. her işlem.