Yeni nesil fidye yazılımı saldırıları, meşru veritabanı komutlarından yararlanarak dünya çapındaki kuruluşların güvenliğini tehlikeye atıyor ve “kötü amaçlı yazılım içermeyen” operasyonlar yoluyla geleneksel güvenlik önlemlerini atlıyor.
Kötü amaçlı ikili dosyalar kullanarak dosyaları şifreleyen geleneksel fidye yazılımlarının aksine, tehdit aktörleri, kritik verileri çalmak, silmek ve fidye almak için standart veritabanı işlevlerini kötüye kullanarak açıktaki veritabanı hizmetlerinden yararlanıyor.
Saldırı metodolojisi, siber suç taktiklerinde önemli bir evrimi temsil ediyor; saldırganlar, zayıf parolalarla veya kimlik doğrulaması olmadan yapılandırılmış, İnternet’e yönelik veritabanı sunucularını hedef alıyor.
Bu kötü amaçlı etkinlik MySQL, PostgreSQL, MongoDB, Hadoop, CouchDB ve Elasticsearch dahil olmak üzere birden fazla veritabanı platformunda gözlemlendi. Saldırganlar bu sunuculara uzaktan bağlanır, verileri harici konumlara kopyalar, veritabanlarını silmek için yıkıcı komutlar yürütür ve fidye notlarını doğrudan ele geçirilen veritabanı yapılarında depolanır.
Hedef sisteme hiçbir kötü amaçlı ikili dosya dağıtılmadığından, bu yaklaşımın özellikle tespitten kaçma konusunda etkili olduğu kanıtlanmıştır.
Hasar tamamen meşru veritabanı komutları aracılığıyla gerçekleştirilir ve bu da geleneksel uç nokta güvenlik çözümlerinin güvenliği ihlal etmeyi belirlemesini zorlaştırır.
Fidye taktiği, münferit olaylardan, uzmanlaşmış botların yanlış yapılandırılmış veritabanları için sürekli olarak İnternet’i taramasıyla tam ölçekli otomatik kampanyalara dönüştü.
Wiz.io araştırmacıları, bu saldırıların, Rapid7 araştırmacılarının toplu operasyonlarda binlerce açık veri tabanının ele geçirildiğini ilk kez belgelediği Şubat 2017’deki ilk gözlemlerinden bu yana katlanarak arttığını tespit etti.
Günümüzün tehdit aktörleri, yeni açığa çıkan hedefleri çevrimiçi hale geldikten sonra saatler veya dakikalar içinde tehlikeye atabilecek gelişmiş otomatik sistemler kullanıyor.
Otomasyonun kolaylığı ve anında kar elde etme potansiyeli, kötü amaçlı yazılım içermeyen veritabanı fidye yazılımlarını dünya çapındaki kuruluşlar için kalıcı ve büyüyen bir tehdit haline getirdi.
Saldırı Uygulaması ve Komut İstismarı
Bu saldırıların teknik olarak yürütülmesi, hem gizliliği hem de etkinliği en üst düzeye çıkaran metodik bir yaklaşımı izler.
Saldırganlar, özellikle MySQL için 3306 numaralı bağlantı noktasını ve PostgreSQL sunucuları için 5432 numaralı bağlantı noktasını hedef alarak, açığa çıkan veritabanı bağlantı noktalarını İnternet çapında tarayarak operasyonlara başlar.
.webp)
Potansiyel hedefler belirlendikten sonra, hizmetlerin bal küpleri veya diğer tuzak sistemler yerine gerçek veritabanı sunucuları olduğunu doğrulamak için parmak izi alma tekniklerini kullanıyorlar.
Kimlik doğrulamayı atlama, saldırganların eksik kimlik doğrulama kontrollerini test ettiği, varsayılan kullanıcı adı ve şifre kombinasyonlarını denediği ve zayıf kimlik bilgilerine karşı kaba kuvvet saldırıları yürüttüğü kritik bir aşamayı temsil eder.
Başarılı kimlik doğrulamanın ardından saldırı, saldırganların değeri değerlendirmek ve veritabanı erişimini onaylamak için verilerin küçük bölümlerini örneklediği veri çıkarma işlemiyle devam eder.
Yıkıcı aşama, aşağıdaki gibi meşru SQL komutlarını kullanır: DROP DATABASE
veritabanının tamamen kaldırılması veya toplu olarak kaldırılması için DELETE
Verileri sistematik olarak silmek için yapılan işlemler.
PostgreSQL gibi ilişkisel veritabanlarında saldırganlar aşağıdaki gibi adlara sahip yeni tablolar oluşturur: RECOVER_YOUR_DATA
veya README_TO_RECOVER
ve fidye notlarını tablo satırları olarak ekleyin.
MongoDB gibi NoSQL veritabanları için süreç, gösterge niteliğinde adlarla yeni koleksiyonlar oluşturmayı ve fidye notlarını belge olarak eklemeyi içerir.
Yakalanan bir MongoDB oturumu, saldırının ilerleyişini gösterir: mongosh "mongodb://target:27017/"
ardından aşağıdaki gibi veritabanı numaralandırma komutları gelir: show dbs
değerli hedefleri belirlemek.
Fidye notu ekinde genellikle “Tüm verileriniz yedeklendi. Kurtarmak için 0,043 BTC ödemeniz gerekir” gibi mesajlar bulunur.
48 saatlik sürenin sona ermesinden sonra tüm verilerinizi sızdıracağız ve ifşa edeceğiz. Bu meşru veritabanı işlemleri, komutların izleme sistemlerine normal idari faaliyetler gibi görünmesi nedeniyle tespit etmeyi zorlaştırmaktadır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.