Ερευνητές ασφαλείας εντόπισαν ένα νέο κύμα επιθέσεων που εγκαθιστούν Cobalt Strike beacons σε ευάλωτους Microsoft SQL Servers. Αυτό επιτρέπει βαθύτερη διείσδυση σε συστήματα και μολύνσεις με κακόβουλο λογισμικό.
Το MS-SQL Server είναι ένα δημοφιλές database management σύστημα που τροφοδοτεί μεγάλες διαδικτυακές εφαρμογές σε μικρά single-system applets.
Δείτε επίσης: Emotet: Χρησιμοποιεί ξανά το Cobalt Strike για πιο γρήγορες επιθέσεις
Ωστόσο, σε πολλές περιπτώσεις, αυτά τα deployments δεν είναι επαρκώς ασφαλισμένα, καθώς εκτίθενται δημόσια στο Διαδίκτυο με αδύναμους κωδικούς πρόσβασης. Ερευνητές αναφέρουν σε έκθεσή τους, ότι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τα κενά ασφαλείας.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Εγκατάσταση Cobalt Strike σε MS-SQL Servers
Σύμφωνα με τους ερευνητές, οι επιθέσεις ξεκινούν με τους hackers να σαρώνουν για servers με ανοιχτή θύρα TCP 1433, που είναι πιθανώς δημόσια εκτεθειμένοι MS-SQL servers. Στη συνέχεια, οι επιτιθέμενοι πραγματοποιούν brute-forcing και dictionary επιθέσεις για να σπάσουν τον κωδικό πρόσβασης. Για να λειτουργήσει η επίθεση με οποιαδήποτε μέθοδο, ο κωδικός πρόσβασης πρέπει να είναι αδύναμος.
Δείτε επίσης: Microsoft: Μπλόκαρε δισεκατομμύρια brute-force και phishing επιθέσεις το 2021
Μόλις οι εισβολείς αποκτήσουν πρόσβαση στον λογαριασμό διαχειριστή και συνδεθούν στον server, αρχίζουν να εγκαθιστούν coin-miners όπως τα Lemon Duck, KingMiner και Vollgar. Επιπλέον, χρησιμοποιούν το Cobalt Strike για να εδραιώσουν το persistence και να εκτελέσουν lateral movement.
Η λήψη του Cobalt Strike γίνεται μέσω ενός command shell process (cmd. exe και powershell. exe) στο παραβιασμένο MS-SQL και εκτελείται στο MSBuild. exe για αποφυγή εντοπισμού.
Μετά την εκτέλεση, γίνεται injection ενός beacon στη νόμιμη διαδικασία wwanmm.dll των Windows και περιμένει τις εντολές του εισβολέα ενώ παραμένει κρυμμένο μέσα σε ένα system library file.
“Δεδομένου ότι το beacon που λαμβάνει την εντολή του εισβολέα και εκτελεί την κακόβουλη συμπεριφορά, δεν υπάρχει σε μια ύποπτη περιοχή μνήμης αλλά λειτουργεί στο κανονικό module wwanmm.dll, μπορεί να παρακάμψει τον εντοπισμό που βασίζεται στη μνήμη“, εξηγούν οι ερευνητές.
Το Cobalt Strike είναι ένα εμπορικό pen-testing εργαλείο και χρησιμοποιείται εκτενώς από εγκληματίες του κυβερνοχώρου.
Το εργαλείο δημιουργήθηκε αρχικά για να βοηθήσει τους ethical hackers και τις red teams να προσομοιώσουν πραγματικές επιθέσεις εναντίον οργανισμών που θέλουν να ενισχύσουν την ασφάλειά τους. Ωστόσο, διέρρευσαν cracked versions και άρχισε να γίνεται ευρεία χρήση από εγκληματίες του κυβερνοχώρου.
Τώρα χρησιμοποιείται από χειριστές κακόβουλου λογισμικού, ομάδες στόχευσης Linux συστημάτων, εξελιγμένους hackers, συμμορίες ransomware κλπ.
Δείτε επίσης: Ransomware: Τα θύματα πληρώνουν αλλά οι χάκερ επιστρέφουν για περισσότερα
Ο λόγος για τον οποίο χρησιμοποιείται τόσο πολύ από απατεώνες, είναι οι πολλές δυνατότητές του:
- Εκτέλεση εντολών
- Keylogging
- File operations
- SOCKS proxying
- Privilege escalation
- Mimikatz (κλοπή credentials)
- Σάρωση θυρών
Επιπλέον, το Cobalt Strike agent που ονομάζεται “beacon” είναι file-less shellcode, επομένως οι πιθανότητες να εντοπιστεί από εργαλεία ασφαλείας μειώνονται.
Για να προστατέψετε το MS-SQL server από επιθέσεις, χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης, χρησιμοποιείστε ένα firewall για περισσότερη προστασία, παρακολουθήστε ύποπτες ενέργειες, εφαρμόστε άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας κλπ.
Πηγή: Bleeping Computer