Bilgisayar Korsanları Windows Server’a Saldırmak İçin MS-SQL Sunucularından Yararlanıyor


Bilgisayar Korsanları Windows Server'a Saldırmak İçin MS-SQL Sunucularından Yararlanıyor

MS-SQL Sunucuları çok sayıda hassas bilgi içerir; bu nedenle bilgisayar korsanları sıklıkla onları hedef alarak kritik öneme sahip sistemlere erişmelerini sağlar.

Bu sunucuların güvenlik açıklarından yararlanmak, tehdit aktörlerinin yetkisiz erişim elde etmesine olanak tanır. Bu aktörler, diğer kötü niyetli etkinliklerin yanı sıra yetkisiz komutları yürütebilir ve potansiyel olarak tüm ağlara komuta ederek veri çalmayı ve fidye yazılımı dağıtımını kolaylaştırabilir.

ASEC’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Windows sunucularına saldırmak için MS-SQL sunucularından aktif olarak yararlandığını tespit etti.

Bilgisayar korsanları MS-SQL Sunucularını Sömürüyor

Yetersiz kimlik bilgisi yönetimi ve genel internet erişimi, MS-SQL sunucularını, Windows sistemlerini hedef alan tehdit aktörleri için tanıdık bir saldırı vektörü haline getiriyor.

With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis

Tehdit aktörleri, kaba kuvvet yoluyla yönetici erişimini güvence altına aldıktan sonra sistem üzerinde daha fazla kontrol elde etmek için fidye yazılımı, RAT’ler ve arka kapılar gibi kötü amaçlı yazılımlar yükler.

MS-SQL sunucularına yapılan saldırılarla ilgili şüpheli etkinliklerin erken tespiti, davranış tabanlı motor izlemeyi kullanan, uygun ve sağlam bir Uç Nokta Tespit ve Yanıt (EDR) çözümünden yararlanılmasıyla mümkündür.

Bu, yöneticilerin temel nedenleri belirlemesine, uygun eylemi gerçekleştirmesine ve bu saldırı yöntemini kullanan tekrarlanan tehditlere karşı karşı önlemler almasına olanak tanır.

Harici bir kullanıcı SQL yönetici hesabını kullanarak başarılı bir şekilde oturum açtığında görüntülenen algılama günlükleri (Kaynak – ASEC)

Raporda, tehdit aktörlerinin genellikle 1433 numaralı bağlantı noktası açık olan MS-SQL sunucularını taradıkları, ardından zayıf kimlik bilgilerine karşı kaba kuvvet veya sözlük saldırıları yoluyla SQL yönetici erişimi elde etmeye çalıştıkları belirtiliyor.

LemonDuck gibi bazı kötü amaçlı yazılımlar, güvenliği zayıf MS-SQL ortamlarına da kendi kendine yayılabilir.

LemonDuck sabit kodlanmış bir şifre listesi kullanırken, Kingminer ve Vollgar gibi diğerleri harici olarak açığa çıkan sunuculara kaba kuvvet uygulamadan yararlanıyor.

LemonDuck tarafından kullanılan şifrelerin listesi (Kaynak – ASEC)

SQL yönetici ayrıcalıkları yalnızca MS-SQL veritabanlarını kontrol eder, ancak Windows işletim sistemini doğrudan kontrol etmez; ancak MS-SQL, işletim sistemi komutlarının yürütülmesine izin veren xp_cmdshell ve OLE otomasyon prosedürleri gibi işlevlere sahiptir.

Sonuç olarak LemonDuck, ilk SQL yönetici erişimini elde etmek için bunları kullanır ve ardından diğer kötü amaçlı bileşenleri indirip çalıştırır.

Hatta birkaçı prosedürde devre dışı bırakılan yetenekleri geri yükler.

LemonDuck, benzer amaçlar için xp_cmdshell ile birlikte CLR .NET prosedürlerini kullanır; bunun aksine MyKings, kötü amaçlı DLL’leri yüklemek için genişletilmiş saklı prosedürler kullanır.

İşletim sistemi komutlarının yürütülmesine izin verecek şekilde sistemi yapılandırma davranışına ilişkin algılama günlükleri (Kaynak – ASEC)

Tehdit aktörleri, kötü amaçlı kodu doğrudan sqlservr.exe hizmeti aracılığıyla yürütmek üzere işletim sistemi komut yürütmesi için yapılandırdıktan sonra xp_cmdshell, OLE prosedürleri veya CLR SQLShell gibi özellikleri kullanabilir.

İşletim sistemi komutlarını yürüten MS-SQL hizmetiyle ilgili algılama günlükleri (Kaynak – ASEC)

Risklerin azaltılması için yöneticiler genellikle ERP ve iş çözümleriyle birlikte bulunan MS-SQL örneklerine güçlü kimlik bilgileri uygulamalı, yama uygulamalı ve harici erişimi kısıtlamalıdır.

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo 



Source link