Ransomware napad na MSSQL baze podataka
Securonix Threat Research tim je primijetio zanimljivu kampanju u kojoj napadači ciljaju izložene Microsoft SQL (MSSQL) servise koristeći napade grube sile (eng. Brute-force).
Kampanja
Zlonamjerni akteri koji su dio DB#JAMMER kampanje kompromituju izložene MSSQL baze podataka koristeći napade grube sile i izgleda da su dobro opremljeni o spremni da isporuče ransomvare i Cobalt Strike korisni dio virusa. Neki od alata koji koriste za ove napade su softver za evidentiranje, RAT aktivne dijelove virusa, softvere za eksploataciju i krađu akreditiva, i na kraju ransomvare, koji se izgleda novija varijanta Mimic ransomware pod nazivom FreeWorld.
Funkcionisanje MSSQL napada
Nakon uspješne autentifikacije, napadači počinju da evidentiraju bazu podataka, a često omogućena funkcija xp_cmdshell omogućava napadačima da pokrenu komandno okruženje na uređaju i da pokrenu nekoliko aktivnih dijelova virusa. Nakon toga dolazi do kreiranja novih korisnika na uređaju, izmjena u bazi registra kako bi se osigurala uspješna veza i onemogućavanje mrežne barijere (eng. firewall).
Sljedeći korak je povezivanje na udaljeni dijeljeni SMB koji napadačima omogućava instalaciju dodatnih alata, uključujući Cobalt Strike okruženje i AnyDesk alat za daljinsku kontrolu. Takođe su upotrebljava napredni skener portova koji napadačima omogućava bočno kretanje (eng. lateral movement), kao i Mimikatz aplikacija otvorenog kôda koja napadačima omogućava preuzimanje akreditiva. Na kraju dolazi do pokretanja FreeWorld ransomware zlonamjernog softvera koji enkriptovanim dokumentima daje “.FreeWorldEncryption” ekstenziju i po završetku enkripcije korisnici dobijaju poruku o otkupnini sa uputstvima o tome kako da platite da bi se datoteke dešifrovale.
Zaštita
Uspjeh samog napada zavisi od uspjeha primjene napad grube sile na MSSQL servere. Iako još uvije nije jasno da li su napadači koristili pokušaje unošenja lozinke zasnovane na rječniku ili nasumične pokušaje, veoma je važno naglasiti upotrebu jakih lozinki, posebno na javno izloženim uslugama. Kako bi se zaštiti, korisnici bi trebalo primijeniti slijedeće preporuke:
- Korisiti jake, složene lozinke, posebno na uslugama koje su izložene Internetu.
- U MSSQL okruženjima ograničite upotrebu uskladištene procedure xp_cmdshell.
- Umjesto da usluge izlažete Internetu, iskoristite pouzdanu platformu kao što je VPN.
- Nadgledati uobičajene direktorijume za postavljanje zlonamjernog softvera, posebno “C:\Windows\Temp” koji se upotrebljava u ovom napadu.