Microsoft, zayıf şifreler kullanarak internete maruz kalan ve kötü güvence altına alınan Microsoft SQL Server (MSSQL) veritabanı sunucularını hedefleyen kaba zorlu saldırıları uyardı.
Bu, MSSQL sunucularının bu tür saldırılarda ilk kez hedeflenmesi olmasa da, Redmond, yakın zamanda gözlemlenen bu kampanyanın arkasındaki tehdit aktörlerinin meşru SQLPS.Exe aracını bir lolbin olarak kullandığını söylüyor (arazi yaşama kısa. ikili).
Microsoft Güvenlik İstihbarat ekibi, "Saldırganlar, SQL tarafından oluşturulmuş CMDLET'leri çalıştırmak için bir PowerShell sarmalayıcısı olan SQLPS.EXE yardımcı programını, Recon komutlarını çalıştırmak ve SQL hizmetinin başlangıç modunu yerel sistemlere değiştirmek için yayarak söz konusu kalıcılık elde etti."
"Saldırganlar ayrıca sqlps.exe'yi Sysadmin rolüne ekledikleri yeni bir hesap oluşturmak için SQL Server'ın tam kontrolünü ele geçirmelerini sağlıyorlar. Daha sonra para madencileri gibi yükleri dağıtmak da dahil olmak üzere diğer eylemleri gerçekleştirme yeteneği kazanıyorlar."
Microsoft SQL Server ile birlikte gelen ve Lolbin olarak SQL Server CMDLET'lerinin yüklenmesine izin veren bir yardımcı program olan SQLPS'yi kullanarak, saldırganların, savunucuların kötü niyetli eylemlerini tespit etmesinden endişe etmeden PowerShell komutlarını yürütmesini sağlar.
Ayrıca, SQLP'leri kullanırken, Windows olay günlüğüne aksi takdirde cmdlet işlemlerini günlüğe kaydedecek bir PowerShell özelliği olan komut dosyası bloğu günlüğünü atlamanın etkili bir yolu olduğundan, saldırıları analiz ederken herhangi bir iz bırakmamalarına yardımcı olur.
MSSQL sunucularına karşı benzer saldırılar, Mart ayında GH0STCringe (aka Cirenegrat) uzaktan erişim truva atlarını (sıçanlar) dağıtmayı hedefledikleri bildirildi.
Şubat ayından önceki bir kampanyada, tehdit aktörleri MSSQL sunucularını Microsoft SQL XP_CMDSHELL komutunu kullanarak Cobalt Strike Beacons'ı düşürmeleri için tehlikeye attı.
Bununla birlikte, MSSQL sunucuları yıllardır, kötü niyetli aktörlerin çeşitli son hedefler için günde binlerce savunmasız sunucuyu kaçırmaya çalıştığı büyük kampanyaların bir parçası olarak hedeflenmiştir.
Neredeyse iki yılı kapsayan bu tür bir saldırı dizisinde (Dubbed Vollgar), tehdit aktörleri, Monero (XMR) ve Vollar (VDS) kriptominerleri dağıtmak için açık bir şekilde açık sunucuları zorla zorlayan farelerle 2.000 ila 3.000 sunucuyu geri çekti.
MSSQL sunucularını bu tür saldırılara karşı savunmak için, yöneticilerin bunları stajyere maruz bırakmamaları, tahmin edilemeyen veya kaba zorlanamayan güçlü bir yönetici şifresi kullanmaları ve sunucuyu bir güvenlik duvarının arkasına yerleştirmeleri önerilir.
Yöneticilere, MSSQL sunucularını bu tür saldırılara karşı savunmak için bunları internete maruz bırakmamaları tavsiye edilir.
Ayrıca:
QNAP, internete maruz kalan NAS cihazlarını hedefleyen fidye yazılımı konusunda uyarıyor
Raspberry Pi, kaba kuvvet saldırılarını engellemek için varsayılan kullanıcıyı kaldırır
Kaynak: Bleeping Computer