Instalacijom tisuća backdoor programa napadači ugrožavaju MS-SQL poslužitelje

Instalacijom tisuća backdoor programa napadači ugrožavaju MS-SQL poslužitelje

backdoor MS-SQL

Otkrivena je zlonamjerna kampanja s ciljem ugrožavanja Microsoft SQL poslužitelja koja je započela prije gotovo dvije godine, u svibnju 2018. Dnevni broj ugroza je između dvije i tri tisuće, a napadači pritom instaliraju desetak backdoor zlonamjernih datoteka za različite svrhe, uključujući RAT (Remote Access Trojan) i softvere za rudarenje kriptovaluta. Napad započinje brute-force metodom putem koje napadači ugrožavaju otvorene poslužitelje sa “slabim” lozinkama. U operaciji se koristilo više od 120 IP adresa, od kojih većina iz Kine. U 60% slučajeva, poslužitelji ostaju kompromitirani kratkoročno, tj. do dva dana, dok kod 20% poslužitelja to traje više od tjedan dana. U 10% slučajeva zlonamjerna datoteka se nakon uklanjanja ponovo vraća i ugrožava poslužitelje zbog toga što administratori ne uspijevaju ukloniti sve module zlonamjerne datoteke na ispravan način. Napad započinje brute-force pokušajima prijave na poslužitelj, a u slučaju uspjeha, napadači izvršavaju nekoliko promjena u konfiguraciji i pokreću zlonamjerne MS-SQL naredbe i preuzimaju zlonamjernu datoteku. U procesu provjeravaju da li su dostupni; WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 i Windows Script Host Object Model (wshom), koji podržavaju i WMI i izvršenje naredbi putem MS-SQL-a, što koriste za preuzimanje inicijalne zlonamjerne datoteke. Osim provjere da li cmd.exe i ftp.exe imaju potrebne dozvole za izvršenje, napadači kreiraju i nove backdoor korisnike u MS-SQL bazi podataka, kao i u OS-u s povećanom razinom privilegija. Zatim kreiraju downloader skripte (dvije VB i jednu FTP) koje izvršavaju nekoliko puta, svaki put na različitoj lokaciji u lokalnom sustavu datoteka, kako bi se osigurali od neuspjeha. Jedan od inicijalnih payloada, SQLAGENTIDC.exe ili SQLAGENTVDC.exe prvo gasi veliki broj procesa kako bi osigurao što više sistemskih resursa i eliminirao aktivnosti drugih napadača, odnosno uklonio njihovo prisustvo iz zaraženog sustava. Također, zlonamjerna datoteka se ponaša i kao dropper koji ostavlja različite RAT i XMRig softvere za kriptovalute koji rudare Monero i VDS (Vollar) kriptovalute. Cjelokupnu infrastrukturu potrebnu za napad napadači su smjestili na ugrožene uređaje, uključujući i primarni C&C poslužitelj lociran u Kini. Na njemu se nalazi MS-SQL alat za napad koji skenira opseg IP adresa, izvršava brute-force napade na ciljane poslužitelje i izvršava naredbe s udaljene lokacije. Također, pronađeni su i C&C programi s GUI-jem na kineskom jeziku, alat za modificiranje hash vrijednosti datoteka, HTTP poslužitelj datoteka (HFS), Serv-U FTP poslužitelj i kopija izvršne mstsc.exe (Microsoft Terminal Services Client) datoteke koja je služila za povezivanje putem RDP-a. Nakon što zaraženi Windows klijent provjeri dostupnost C2 poslužitelja, na njega se šalju informacije o uređaju, kao što su javna IP adresa, lokacija, verzija operacijskog sustava, ime, model i drugo. Za zaštitu od sličnih napada, treba koristiti jake lozinke za sve MS-SQL poslužitelje. Ovi poslužitelji, osim toga što imaju veliku procesorsku snagu, pohranjuju i veliku količinu podataka (npr. lozinke, brojeve kreditnih kartica i sl.) tako da su zanimljivi za napadače iz više razloga. Kada su zaštićeni slabim lozinkama, najobičniji brute-force napad može prouzročiti veliku štetu.

Prethodna objava Slijedeća objava