W dzisiejszym poście opiszemy dwa rodzaje ataków, które stają się standardem w cyberwojnie. Brak zapewnienia odpowiedniej ochrony poważnie zagraża bezpieczeństwu.
Pierwszy rodzaj ataków opiszemy na podstawie ostrzeżenia Microsoftu. Ten ostatni pisze o nowej fali brute force, których celem są serwery SQL. Atak jest ciekawy, bo wykorzystuje dość rzadko spotykany plik binarny typu LOLBin. O takich przypadkach pisaliśmy kilkukrotnie m.in. tutaj.
Byliśmy bodaj pierwszym serwisem w Polsce, który opisał to zagrożenie.
Drugi rodzaj ataków wykorzystuje błędy konfiguracji, a ostrzega przed nim komunikat Agencji ds. cyberbezpieczeństwa ze Stanów Zjednoczonych, Wielkiej Brytanii, Kanady, Holandii i Nowej Zelandii.
Ale po kolei:
Atak na serwery SQL
Podmioty atakujące polegają na legalnym narzędziu o nazwie sqlps.exe, aby osiągnąć bezplikową trwałość na serwerach SQL, które używają słabych lub domyślnych haseł.
Według Microsoftu sqlps.exe, otoczka PowerShell, która obsługuje wykonywanie poleceń cmdlet wbudowanych w SQL, umożliwia atakującym uruchamianie poleceń rozpoznania i modyfikowanie trybu uruchamiania usługi SQL na LocalSystem.
Korzystanie z legalnego narzędzia umożliwia atakującym ukrycie swojej złośliwej aktywności przed narzędziami do wykrywania, a także utrudnia analizę kryminalistyczną.
„Obrońcy zazwyczaj monitorują wykorzystanie PowerShell w swoim środowisku. Narzędzie sqlps.exe, które jest domyślnie dostarczane ze wszystkimi wersjami SQL, ma podobną funkcjonalność i jest równie warte wzmożonej kontroli” — ostrzegał na Twitterze Microsoft Security Intelligence.
W ramach obserwowanych ataków sqlps.exe służy również do tworzenia nowego konta z uprawnieniami sysadmin, które jest następnie wykorzystywane do przejęcia zaatakowanego serwera SQL.
„Następnie zyskują możliwość wykonywania innych działań, w tym wdrażania ładunków, takich jak koparki monet” — powiedział Microsoft.
Gigant technologiczny (celowo używamy tego określenia, choć czasami wzbudza kontrowersje) wskazuje również, że użycie tego rzadkiego LOLbina pokazuje, że śledzenie zachowania wszystkich skryptów w czasie wykonywania może pomóc w identyfikacji złośliwego kodu.
Atak na błędy konfiguracji
We wspólnym komunikacie Agencje ds. cyberbezpieczeństwa w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Holandii i Nowej Zelandii ostrzegają, że cyberprzestępcy coraz częściej wykorzystują słabe praktyki bezpieczeństwa, aby uzyskać wstępny dostęp do środowisk ofiar.
Typowe techniki stosowane przez hackerów, którzy chcą złamać system docelowy, obejmują wykorzystywanie aplikacji dostępnych publicznie lub zewnętrznych usług zdalnych, phishing, używanie prawidłowych poświadczeń oraz wykorzystywanie zaufanych relacji.
Organy w pięciu zainteresowanych krajach zidentyfikowały szereg słabości, które złośliwi aktorzy zazwyczaj próbują wykorzystać w swoich atakach, w tym niewłaściwe kontrole bezpieczeństwa, słabe konfiguracje i ogólnie słabe praktyki w zakresie cyberbezpieczeństwa.
Mówią, że w środowiskach podatnych na eksploatację brakuje obowiązkowego uwierzytelniania wieloskładnikowego, mają nieprawidłowo zastosowane przywileje lub uprawnienia, używają domyślnych konfiguracji lub domyślnych poświadczeń, lub działają na oprogramowaniu, które nie jest aktualizowane.
Niechronione usługi dostępu zdalnego, zasady dotyczące słabych haseł, niechronione usługi w chmurze, otwarte porty i źle skonfigurowane usługi również mogą być celem złośliwych ataków. Niewykrywanie prób phishingu oraz brak silnego wykrywania i reagowania w punktach końcowych są również znanymi przyczynami włamań.
Jak się chronić?
Organizacje mogą ograniczać ryzyko związane z atakami typu brute force, używając silnych i unikalnych danych uwierzytelniających. Należy monitorować środowisko pod kątem: złamanych nazw użytkowników i haseł oraz podejrzanej aktywności, wdrażając odpowiednie zasady dostępu warunkowego i stosując narzędzia do wykrywania. I co ważne aktualizując całe oprogramowanie.
Następnie organizacjom zaleca się wdrożenie modelu bezpieczeństwa typu zero-trust, ograniczenie zdalnego logowania lokalnych administratorów, kontrolowanie dostępu użytkowników do zasobów, wdrożenie odpowiednich zasad dostępu warunkowego i upewnienie się, że żaden system nie ma otwartych portów RDP.
Wdrożenie silnych zasad poświadczeń – takich jak wymuszanie uwierzytelniania wieloskładnikowego, zmiana domyślnych poświadczeń i monitorowanie pod kątem złamanych nazw użytkowników i haseł – ustanowienie zarządzania dziennikami i programu do zarządzania konfiguracją, stosowanie narzędzi do wykrywania złośliwego oprogramowania i punktów końcowych oraz aktualizowanie całego oprogramowania powinno również pomóc złagodzić ryzyko.