{"id":5355,"date":"2023-09-07T19:21:28","date_gmt":"2023-09-07T17:21:28","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5355"},"modified":"2023-09-07T19:21:28","modified_gmt":"2023-09-07T17:21:28","slug":"ransomware-napad-na-mssql-baze-podataka","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/07\/ransomware-napad-na-mssql-baze-podataka\/","title":{"rendered":"Ransomware napad na MSSQL baze podataka"},"content":{"rendered":"

Securonix Threat Research<\/em> tim je primijetio zanimljivu kampanju<\/a> u kojoj napada\u010di<\/a> ciljaju izlo\u017eene Microsoft SQL<\/em> (MSSQL<\/em>) servise koriste\u0107i napade grube sile<\/a> (eng. Brute-force<\/em>).<\/span><\/p>\n

\"MSSQL\"

Microsoft SQL; Source: Wallpapercave<\/a><\/em><\/p><\/div>\n

Kampanja<\/strong><\/span><\/h2>\n

Zlonamjerni akteri koji su dio DB#JAMMER<\/em> kampanje kompromituju izlo\u017eene MSSQL<\/em> baze podataka koriste\u0107i napade grube sile i izgleda da su dobro opremljeni o spremni da isporu\u010de\u00a0 ransomvare<\/em> i Cobalt<\/em> Strike<\/em> korisni dio virusa<\/a>. Neki od alata koji koriste za ove napade su softver za evidentiranje, RAT<\/em> aktivne dijelove virusa, softvere za eksploataciju i kra\u0111u akreditiva, i na kraju ransomvare<\/em>, koji se izgleda novija varijanta Mimic ransomware<\/em> pod nazivom FreeWorld<\/em>.<\/span><\/p>\n

 <\/p>\n

Funkcionisanje MSSQL<\/em> napada<\/strong><\/span><\/h3>\n

Nakon uspje\u0161ne autentifikacije, napada\u010di po\u010dinju da evidentiraju bazu podataka, a \u010desto omogu\u0107ena funkcija xp_cmdshell<\/em> omogu\u0107ava napada\u010dima da pokrenu komandno okru\u017eenje na ure\u0111aju i da pokrenu nekoliko aktivnih dijelova virusa. Nakon toga dolazi do kreiranja novih korisnika na ure\u0111aju, izmjena u bazi registra kako bi se osigurala uspje\u0161na veza i onemogu\u0107avanje mre\u017ene barijere (eng. firewall<\/em>).<\/span><\/p>\n

Sljede\u0107i korak je povezivanje na udaljeni dijeljeni SMB<\/em> koji napada\u010dima omogu\u0107ava instalaciju dodatnih alata, uklju\u010duju\u0107i Cobalt<\/em> Strike<\/em> okru\u017eenje i AnyDesk<\/em> alat za daljinsku kontrolu. Tako\u0111e su upotrebljava napredni skener portova koji napada\u010dima omogu\u0107ava bo\u010dno kretanje (eng. lateral movement<\/em>), kao i Mimikatz<\/em> aplikacija otvorenog k\u00f4da koja napada\u010dima omogu\u0107ava preuzimanje akreditiva. Na kraju dolazi do pokretanja FreeWorld<\/em> ransomware<\/em> zlonamjernog softvera koji enkriptovanim dokumentima daje \u201c.FreeWorldEncryption<\/em>\u201d ekstenziju i po zavr\u0161etku enkripcije korisnici dobijaju poruku o otkupnini sa uputstvima o tome kako da platite da bi se datoteke de\u0161ifrovale.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h4>\n

Uspjeh samog napada zavisi od uspjeha primjene napad grube sile na MSSQL<\/em> servere. Iako jo\u0161 uvije nije jasno da li su napada\u010di koristili poku\u0161aje uno\u0161enja lozinke<\/a> zasnovane na rje\u010dniku ili nasumi\u010dne poku\u0161aje, veoma je va\u017eno naglasiti upotrebu jakih lozinki, posebno na javno izlo\u017eenim uslugama. Kako bi se za\u0161titi, korisnici bi trebalo primijeniti slijede\u0107e preporuke:<\/span><\/p>\n