تحلیلگران موج جدیدی از حملات را پیش بینی کردندکه با نصب Beacon Cobalt Strike روی سرورهای آسیب پذیر Microsoft SQL، منجر به نفوذ عمیق تر ومتعاقب آن آلودگی بدافزار ها می شود.
علیرغم استفاده و محبوبیت بسیار بالایMS-SQLServer هنوز بسیاری از پایگاه های داده ایمن نیستند، دارای رمز های عبور ضعیفی هستند و طبق گزارش ASEC ، مهاجمان از این موضوع استفاده می کنند.
هدف قرار دادن MS-SQL به وسیله Cobalt Strike
سرورهایی که TCP پورت باز 1433 دارند حملات را شروع می کنند سپس با حملات brute forcing و دیکشنری رمزهای عبور ضعیف را می شکنند.
پس از دسترسی به اکانت مدیریتی و ورود به سرور، ماینرهایی مثل Lemon Duck, KingMiner, Vollgar و… را فعال می کنند.
Cobalt Strike از طریق Command shell(cmd.exe و powershell.exe ) روی MS-SQL مورد حمله، دانلود می شود وجهت فرار از شناسایی در MSBuild.exe اجرا می شود.
پس از اجرا، منتظر دستورات مهاجم میماند و همواره در سیستم مخفی می ماند.
Cobalt Strike یک ابزار pen-testing تجاری (offensive security) است که به دلیل ویژگی های آن مهاجمان به طور گسترده برای اهداف مخرب خود از آن سوء استفاده می کنند.
دلیل اینکه مهاجمان تا این حد از آن سوء استفاده می کنند، شامل موارد زیر می باشد:
• Command execution
• Keylogging
• File operations
• SOCKS proxying
• Privilege escalation
• Mimikatz (credential-stealing)
• Port scanning
ایجنت Cobalt Strike به نام “beacon” یک پوسته File less است و به همین دلیل شانس شناسایی آن توسط ابزارهای امنیتی بسیار پایین است به خصوص در سیستم هایی با مدیریت ضعیف.
پیشنهادات:
برای محافظت از سرور MS-SQL خود در برابر حملاتی از این نوع:
1- از رمز عبور قوی استفاده کنید و حتی الامکان 2factor Auttentication.
2- سرور را پشت فایروال قرار دهید.
3- سیستم نظارت و مونیتورینگ مناسب برای کنترل اقدامات مشکوک داشته باشید از جملهEDR(Endpoint Detection & Response).
4- Log های سیستم را نگهداری و بررسی کنید.
5- از نصب کلیه ی وصله ها و بروزرسانی امنیتی اطمینان حاصل کنید.
6- از پالیسی ها و ابزار هایDTA access Control استفاده کنیدو از اجرای سیاست های دسترسی به داده ها در سازمان مطمئن شوید .
منبع:
https://www.bleepingcomputer.com
