Хакеры массово захватывают серверы MS SQL с помощью антихакерского ПО

Новые атаки на Microsoft SQL

Эксперты по информационной безопасности наблюдают новую волну атак на серверы Microsoft SQL с использованием «маяков» Cobalt Strike.

Cobalt Strike — легальный инструмент пентеста и пост-эксплуатации, который, впрочем, активно используется и киберкриминалом, и кибершпионами. Его «маяки» — это локальные агенты Cobalt Strike, используемые для удаленного наблюдения за сетью или выполнения дальнейших команд.

MS SQL Server — популярная система управления базами данных, на основе которой работают многочисленные интернет-приложения любых масштабов. По данным компании Ahn Lab, многие из этих серверов защищены слабыми паролями и доступны из глобальной Сети, что делает их весьма привлекательной мишенью.

Атаки начинаются со сканирования серверов с открытым портом TCP 1433 — это признак доступного извне сервера MS SQL. После обнаружения такого ресурса злоумышленники запускают брутфорс и словарные атаки с целью вскрытия пароля.

Если это удается, и злоумышленник получает доступ к админской панели, до на сервер подгружаются криминальные криптомайнеры, такие как LemonDuck, KingMiner, Vollgar, а также «маяки» Cobalt Strike, обеспечивающие возможность дальнейшей разведки локальной сети.

Бесфайловое зло

CobaltStrike загружается через шелл-процесс (cmd.exe и powershell.exe), затем производится его инъекция и запуск в MSBuild.exe для избегания обнаружения. После запуска «маяк» встраивается в процесс системной библиотеки wwanmm.dll и ожидает команд от операторов, оставаясь скрытным.

В дальнейшем злоумышленники могут производить на скомпрометированной системе запуск произвольных команд, кейлоггинг, операции с файлами, установление прокси Socks, повышать привилегии, сканировать порты, а также красть реквизиты доступа с помощью Mimikatz.

«Сам по себе “маяк” Cobalt Strike — бесфайловый шелл-код, перехватить который с помощью антивируса и других защитных средств не слишком просто, — говорит Алексей Водясов, технический директор компании SEQ. — Защита должна быть реализована прежде всего правильными настройками, в том числе эффективным паролем и дополнительными средствами авторизации. Брутфорс не сработает против действительно надежных паролей».

Эксперт добавил также, что серверы MS SQL следует регулярно обновлять, если такая возможность есть.