Microsoft varuje před brute-force útoky zaměřenými na servery MSSQL

Zpět na blog

Společnost Microsoft varovala před útoky typu brute-force zaměřenými na internetově exponované a špatně zabezpečené databázové servery Microsoft SQL Server (MSSQL) využívající slabá hesla.

Podle Redmondu aktéři hrozeb, kteří stojí za touto nedávno zaznamenanou kampaní, používají legitimní nástroj sqlps.exe jako LOLBin (zkratka pro living-off-the-land binary).

„Útočníci dosahují bezsouborové perzistence tím, že spouštějí nástroj sqlps.exe, což je wrapper prostředí PowerShell pro spouštění rutin vytvořených pro SQL, aby mohli provádět příkazy a měnit režim spouštění služby SQL na LocalSystem,“ prozradil tým Microsoft Security Intelligence. „Útočníci také pomocí souboru sqlps.exe vytvoří nový účet, který přidají do role sysadmina, což jim umožní převzít plnou kontrolu nad serverem SQL. Poté získají možnost provádět další akce, včetně nasazení zátěží, jako jsou minery kryptoměn.“

Použití nástroje sqlps, který je součástí serveru Microsoft SQL Server a umožňuje načítat rutiny SQL Serveru jako LOLBin, umožňuje útočníkům provádět příkazy PowerShell bez obav, že někdo (něco) odhalí jejich škodlivé akce. Pomáhá také zajistit, aby nezanechali žádné stopy, jelikož použití sqlps je spolehlivý způsob, jak obejít funkci Script Block Logging, která je součástí prostředí PowerShell a která by jinak zaznamenávala operace s rutinami do protokolu událostí systému Windows.

Brute-force útoky na Microsoft MSSQL

Podobné útoky na servery MSSQL byly zaznamenány v březnu, kdy byly cílem nasazení trojského koně pro vzdálený přístup (RAT) Gh0stCringe (alias CirenegRAT).

V předchozí kampani z února kompromitovali aktéři hrozeb servery MSSQL, aby pomocí příkazu Microsoft SQL xp_cmdshell shodili beacony Cobalt Strike.

Servery MSSQL jsou často cílem masivních kampaní, při nichž se kyberzločinci pokoušejí zmocnit tisíců zranitelných serverů. V jedné takové sérii útoků (nazvané Vollgar) trvající téměř dva roky aktéři po brute-forcingu veřejně vystavených serverů zpětně napadli 2 000 až 3 000 serverů pomocí RAT za účelem nasazení kryptominerů Monero (XMR) a Vollar (VDS).

Na ochranu serverů MSSQL proti takovým útokům se administrátorům doporučuje nevystavovat je internetu, používat silné heslo, které nelze uhodnout ani vynutit brute-force metodou, a využívat firewall. Doporučuje se také zapnout protokolování, aby bylo možné sledovat podezřelé nebo neočekávané aktivity nebo opakované pokusy o přihlášení.

Je také důležité aktualizovat systém, aby se zmenšil vektor útoku a znemožnily útoky využívající exploity, které se zaměřují na známé zranitelnosti.

Zdroj: Bleepingcomputer

23. 5. 2022