Menu dostępności

Hakerzy uderzają w podatne serwery Microsoft SQL

Podatne na ataki, wystawione do Internetu serwery Microsoft SQL (MS SQL) stały się celem ataków cyberprzestępców w ramach nowej kampanii mającej na celu wdrożenie narzędzia Cobalt Strike służącego do hackowania i przejmowania zdalnej kontroli nad komputerami.

Informacja ta pojawiła się po raz pierwszy w poniedziałkowym raporcie południowokoreańskej firmy zajmująca się cyberbezpieczeństwem AhnLab Security Emergency Response Center (ASEC). Jak twierdzą:

„Cyberzagrożenia wymierzone w serwery MS SQL obejmują ataki na środowisko, w którym jego podatność nie została załatana, „brutalne wymuszanie” i ataki słownikowe na źle zarządzane serwery”


Krótko o SQL Server i Cobalt Strike

SQL Server to popularny system bazodanowy od Microsoft, który zasila duże aplikacje internetowe (i nie tylko) w małe, jednosystemowe aplety. Jak się okazuje (i według raportu ASEC Ahn Lab) wiele z wdrożeń tych systemów nie jest odpowiednio zabezpieczona, ponieważ są one publicznie udostępniane w Internecie za pomocą słabych (podatnych) haseł. Podatność tą wykorzystują atakujący. Z koleji Cobalt Strike to komercyjna, w pełni funkcjonalna platforma do przeprowadzania testów penetracyjnych, która umożliwia atakującemu wdrożenie agenta o nazwie „Beacon” na zaatakowanej maszynie, zapewniając operatorowi zdalny dostęp do systemu. Chociaż jest reklamowana jako platforma do symulacji zagrożeń dla zespołów RedTeam, zhackowane wersje oprogramowania są aktywnie wykorzystywane przez szeroką gamę cyberprzestępców.


Jak wygląda atak?

Atakujący zwykle skanuje port 1433, aby sprawdzić, czy serwer MS-SQL jest otwarty na publiczny dostęp. Następnie wykonują atak typu Brute force lub słownikowy na konto administratora, czyli konto „sa” i próbują się na nie zalogować. Nawet jeśli serwer MS-SQL nie jest publicznie dostępny, istnieją inne sposoby ataku, w których złośliwe oprogramowanie (np. Lemon Duck) skanuje port 1433 i rozprzestrzenia się w celu ruchu bocznego w sieci wewnętrznej.

Poniżej przykład takiego ataku z listą haseł użytych do ataku słownikowego używanego przez LemonDuck:

Źródło: Ahn Lab

Aby atak mógł zadziałać z którąkolwiek z metod, docelowe hasło musi być słabe.

Badacze ASEC zaobserwowali również, że gdy atakujący uzyska dostęp do konta administratora i zaloguje się na serwerze, umieszcza na nim koparkę, taką jak Lemon Duck, KingMiner i Vollgar. Dodatkowo w celu uzyskania stałego dostępu (persistence) do środowiska i umożliwienia wykonania ruchu bocznego w sieci atakujący za pomocą oprogramowania Cobalt Strike’a umieszcza na serwerze backdoor’a.

Cobalt Strike jest pobierany za pomocą procesu powłoki poleceń („cmd[.]exe” i „powershell[.]exe”) do zhakowanego MS-SQL i jest wstrzykiwany i wykonywany w MSBuild.exe w celu uniknięcia wykrycia.

Źródło: Ahn Lab

Po pomyślnym zdobyciu przyczółku następna faza ataku polega na uruchomieniu powłoki poleceń systemu Windows za pośrednictwem procesu MS SQL „sqlservr.exe”, aby pobrać do systemu ładunek następnego etapu, w którym znajduje się zakodowany plik binarny Cobalt Strike. Atak ostatecznie kończy się dekodowaniem przez złośliwe oprogramowanie pliku wykonywalnego Cobalt Strike, a następnie wstrzyknięciem go do legalnego procesu Microsoft Build Engine (MSBuild), który był wcześniej wykorzystywany przez atakujących do bezplikowego dostarczania Trojanów do zdalnego dostępu i złośliwego oprogramowania kradnącego hasła na docelowym systemie Windows. Co więcej, malware użyty w CobaltStrike może ominąć wykrywanie (przez oprogramowanie do bezpieczeństwa) oparte na skanowaniu pamięci, ponieważ nie istnieje w podejrzanym obszarze pamięci, zaś operuje w legalnym obszarze pamięci modulu biblioteki wwanmm.dll (WWan Media Manager). Tutaj umieszczana jest sonda Beacon oprogramowania CS.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...