Analistas de ameaças detectaram uma nova onda de ataques a servidores Microsoft SQL vulneráveis, por meio da instalação do Cobalt Strike Beacon, um malware padrão usado para criar uma conexão com servidores e que leva a infiltrações profundas e infecções subsequentes.
O SQL Server é um sistema gerenciador de banco de dados que alimenta grandes aplicativos da internet para pequenos applets de sistema único. No entanto, muitas das implantações não são adequadamente protegidas e expostas na internet com senhas fracas. De acordo com um relatório da ASEC da Ahn Lab, um operador de ameaças desconhecido está se aproveitando dessa fragilidade.
Os ataques começam com o hacker procurando servidores com uma porta 1433 TCP aberta, que provavelmente são servidores SQL. O invasor então realiza ataques de força bruta e de dicionário para quebrar a senha. Em qualquer um dos métodos, o ataque só funciona quando a senha de destino é fraca. Após obter acesso à conta de administrador e fazer login no servidor, ele descarrega mineradores de criptomoedas como Lemon Duck, KingMiner e Vollgar. Além disso, a ameaça cria backdoors no servidor com Cobalt Strike para estabelecer persistência e realizar movimentos laterais.
O Cobalt Strike é baixado por meio de um processo de shell de comando (cmd.exe e powershell.exe) no SQL Server comprometido e é injetado e executado no MSBuild.exe para evitar a detecção. Após a execução, um beacon é injetado no processo legítimo do Windows wwanmm.dll e aguarda os comandos do invasor enquanto permanece oculto dentro de um arquivo de biblioteca do sistema.
Veja isso
Ransomware oportunista já atacou mais de 83 mil servidores MySQL
Grupo chinês implanta backdoor em MS SQL
“Como o beacon que recebe o comando do invasor e executa o comportamento malicioso não existe em uma área de memória suspeita, já que opera no módulo normal wwanmm.dll, ele pode ignorar a detecção baseada em memória”, explica o relatório do grupo ASEC da Ahn Lab.
O Cobalt Strike é uma ferramenta comercial de pen-testing (segurança ofensiva) que é amplamente utilizada por cibercriminosos que consideram seus recursos poderosos particularmente úteis para suas operações maliciosas. A ferramenta, que custa US$ 3.500 por licença, foi criada para ajudar hackers éticos e red teams a simular ataques reais contra organizações que desejam aumentar sua postura de segurança, mas a partir do momento em que as versões crackeadas vazaram, seu uso por agentes de ameaças ficou fora de controle.
Para proteger servidor SQL contra ataques desse tipo, os analistas ASEC orientam o uso de uma senha de administrador forte, colocar o servidor atrás de um firewall, registrar tudo e monitorar ações suspeitas, aplicando atualizações de segurança disponíveis e usando um controlador de acesso a dados para inspecionar e aplicar políticas em cada transação.