Kötü yönetilen Microsoft SQL (MS SQL) sunucuları, adı verilen bir kötü amaçlı yazılım kategorisini yaymak için tasarlanmış yeni bir kampanyanın hedefidir. CLR SqlShell bu da nihayetinde kripto para madencilerinin ve fidye yazılımlarının konuşlandırılmasını kolaylaştırır.
AhnLab, “Web sunucularına yüklenebilen web kabuğuna benzer şekilde, SqlShell, bir MS SQL sunucusuna yüklendikten sonra tehdit aktörlerinden komut yürütme ve her türlü kötü niyetli davranışı gerçekleştirme gibi çeşitli özellikleri destekleyen bir kötü amaçlı yazılım türüdür.” Güvenlik Acil Müdahale Merkezi (ASEC) geçen hafta yayınladığı bir raporda söyledi.
Saklı yordam, ilişkisel veritabanı yönetim sistemindeki (RDBMS) birden çok programda kullanım için bir Yapılandırılmış Sorgu Dili (SQL) deyimleri kümesi içeren bir alt yordamdır.
SQL Server 2005 ve sonraki sürümlerde bulunan CLR (ortak dil çalışma zamanının kısaltması) saklı yordamları, C# veya Visual Basic gibi bir .NET dilinde yazılmış saklı yordamlara atıfta bulunur.
Güney Koreli siber güvenlik firması tarafından keşfedilen saldırı yöntemi, bir Windows komut kabuğu oluşturan ve yürütme için girdi olarak bir talimat ileten xp_cmdshell komutunu kullanarak kötü amaçlı yazılımı MS SQL sunucularına yüklemek için CLR saklı yordamının kullanılmasını gerektiriyor.
LemonDuck, MyKings (namı diğer DarkCloud veya Smominru) ve Vollgar ile ilişkili olanlar da dahil olmak üzere tehdit aktörleri tarafından kullanılan bazı teknikler, xp_cmdshell komutlarını ve depolanan OLE’yi çalıştırmak için kaba kuvvet ve sözlük saldırıları yoluyla internete açık MS SQL sunucularının istismar edilmesiyle ilgilidir. prosedürler ve kötü amaçlı yazılım yürütün.
Saldırganların Metasploit gibi sonraki aşama yüklerini ve MrbMiner, MyKings ve LoveMiner gibi kripto para madencilerini indirmek için SqlShell rutinlerinden yararlanmasıyla CLR saklı yordamlarının kullanımı bu listeye yapılan en son eklemedir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Dahası, SqlHelper, CLRSQL ve CLR_module adlı SqlShell’ler, farklı saldırganlar tarafından güvenliği ihlal edilmiş sunucularda ayrıcalıkları artırmak ve fidye yazılımı, proxy yazılımı başlatmak ve hedeflenen ağlarda keşif çabalarını yürütmek için yetenekler birleştirmek için kullanıldı.
ASEC, “SqlShell, arka kapılar, madeni para madencileri ve proxyware gibi ek kötü amaçlı yazılımlar yükleyebilir veya tehdit aktörlerinden alınan kötü amaçlı komutları WebShell’e benzer bir şekilde yürütebilir” dedi.