Microsoft SQL sunucularını hedef alan gelişmiş bir tehdit etkinliği kümesi olan STAC6451 tespit edildi.
Öncelikle Sophos Yönetilen Algılama ve Yanıt (MDR) ekipleri tarafından gözlemlenen bu küme, SQL sunucusu güvenlik açıklarından yararlanarak kuruluşları tehlikeye attı.
Saldırganlar, ağlara sızmak ve onları tehlikeye atmak için kaba kuvvet saldırıları, komut yürütme ve yanal hareket tekniklerinin bir kombinasyonunu kullanıyor.
Bu makalede STAC6451 saldırılarının ayrıntılı ayrıntıları, kullanılan teknikler ve dünya çapındaki kuruluşlar için etkileri ele alınmaktadır.
STAC6451 saldırıları Kusur
İlk Erişim ve Kullanım
STAC6451, öncelikle İnternet’e maruz kalan Microsoft SQL (MSSQL) sunucularını hedef alır. Bu sunucular genellikle zayıf veya varsayılan kimlik bilgilerine sahiptir ve bu da onları kaba kuvvet saldırılarına karşı savunmasız hale getirir.
Erişim sağlandıktan sonra saldırganlar, SQL servisi üzerinden komut satırı yürütülmesine izin veren xp_cmdshell saklı yordamını etkinleştirir.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Bu kritik adım, saldırganların kodlarını yürütmelerini ve SQL veritabanına kötü amaçlı yükler yerleştirmelerini sağlar. Saldırganlar, SQL sunucularının varsayılan TCP/IP portunu (1433) kullanırlar; bu port, açıkta bırakılırsa kolayca hedef alınabilir.
Basit hesap kimlik bilgilerini kullanarak, yetkisiz erişim elde etmek için kaba kuvvet saldırıları gerçekleştirirler. Bu yöntem, SQL sunucularını güçlü, karmaşık parolalarla güvence altına almanın ve internete maruz kalmalarını sınırlamanın önemini vurgular.
Keşif ve Sahneleme
Erişim güvence altına alındığında, saldırganlar sistem hakkında bilgi toplamak için keşif komutlarını yürütür. Bu komutlar arasında sürüm, ana bilgisayar adı, kullanılabilir bellek, etki alanı ve kullanıcı adı bağlamı bulunur.
ver & hostname
wmic computersystem get totalphysicalmemory
wmic os get Caption
wmic os get version
wmic computersystem get domain
whoami
Bu komutların yürütülmesi çoğunlukla otomatiktir ve bu da saldırının yüksek düzeyde karmaşıklığa sahip olduğunu gösterir.
Kötü Amaçlı Yüklerin Hazırlanması
Saldırganlar, ek yükleri ve araçları sahnelemek için Toplu Kopyalama Programı (BCP) yardımcı programını kullanır. Bu komut satırı aracı, bir SQL örneği ile bir dosya arasında veri kopyalar.
Saldırganlar, yüklerini MSSQL veritabanına gömerek veritabanında kayıtlı kötü amaçlı yazılım ve araçlardan yerel dosyalar oluşturabilir. Bu yöntem, uzaktan erişim için AnyDesk, toplu komut dosyaları ve PowerShell komut dosyaları dahil olmak üzere çeşitli araçları sahnelemelerine olanak tanır.
Kullanıcı Hesapları Oluşturma
Saldırganlar, yatay hareketi kolaylaştırmak ve kalıcılığı sürdürmek için kurban ortamlarında çeşitli kullanıcı hesapları oluştururlar.
Bu hesaplar yerel yönetici ve uzak masaüstü gruplarına eklenerek saldırganlara daha yüksek ayrıcalıklar sağlanıyor.
Bu hesapları birden fazla ağda aynı anda oluşturmak için otomatik komut dosyaları kullanılması, çok sayıda kurbanı tehlikeye atmak için koordineli bir çabanın göstergesidir.
Saldırganlar, ilk komuta ve kontrol için uzak masaüstü uygulaması olan AnyDesk’i kullanır. AnyDesk’i tehlikeye atılmış sistemlere yüklemek, uzaktan erişimi sürdürmelerine ve kötü amaçlı etkinliklerini tespit edilmeden sürdürmelerine olanak tanır.
PrintSpoofer ve Cobalt Strike
Saldırganlar, yükseltilmiş ayrıcalıklar elde etmek için Windows biriktirici hizmetindeki zayıflıkları kullanan PrintSpoofer adlı bir ayrıcalık yükseltme aracı kullanıyor.
Ek olarak, komuta ve kontrol (C2) operasyonları için meşru bir penetrasyon testi aracı olan Cobalt Strike’ı kullanırlar. Saldırganlar, benzersiz bir Cobalt Strike yükleyicisi dağıtarak C2 bağlantıları kurabilir ve kötü amaçlı yükleri yürütebilir.
STAC6451 kümesinin birincil hedeflerinden biri fidye yazılımı dağıtmaktır. Saldırganlar, diske bir fidye yazılımı başlatıcısı yazmak için BCP yardımcı programını kullanır.
Ayrıca, kurbanın dosyalarını şifreleyen ve şifre çözme için fidye talep eden fidye yazılımını başlatan toplu komut dosyalarını çalıştırmak için AnyDesk’i kullanıyorlar.
Hint Örgütlerini Hedefleme
Sophos MDR, STAC6451’in Hindistan’da birçok sektördeki kuruluşları açıkça hedef aldığını gözlemledi.
Aynı betiklerin aynı anda yürütülmesi ve farklı hedef ortamlarda aynı tempoda faaliyet gösterilmesi, saldırganların saldırılarının çeşitli aşamalarını otomatikleştirerek birden fazla kurbanı hızla istismar edip tehlikeye attığını gösteriyor.
Saldırganların Mimic fidye yazılımını kullandıkları gözlemlenirken, faaliyetleri arasında veri toplama ve muhtemelen sızdırma da yer alıyor.
Bu ikili yaklaşım, fidye ödemeleri yapma ve çalınan verileri satma potansiyeline sahip, finansal amaçlı bir operasyonu işaret ediyor.
Kuruluşlar İçin Öneriler
SQL Sunucularını Güvence Altına Alma – Kuruluşlar, SQL sunucularının uygun güvenlik önlemleri olmadan internete maruz kalmamasını sağlamalıdır. Karmaşık parolalar yoğun olarak kullanılmalı ve xp_cmdshell özelliği gerekli olmadıkça devre dışı bırakılmalıdır.
İzleme ve Algılama – Sağlam izleme ve tespit sistemleri uygulamak, saldırıları erken aşamalarında tespit etmeye ve azaltmaya yardımcı olabilir. Sophos MDR gibi araçlar, bu tür karmaşık tehditlere karşı değerli içgörüler ve koruma sağlayabilir.
Düzenli Güvenlik Denetimleri – Düzenli güvenlik denetimleri ve zafiyet değerlendirmeleri, kuruluşların potansiyel sistem zayıflıklarını belirlemesine ve ele almasına yardımcı olabilir. Bu proaktif yaklaşım, STAC6451 gibi gelişen tehditlerin önünde kalmak için önemlidir.
STAC6451 tehdit etkinliği kümesi, özellikle SQL sunucularına maruz kalanlar olmak üzere dünya çapındaki kuruluşlar için önemli bir risk oluşturmaktadır.
Bu saldırganların kullandığı taktikleri, teknikleri ve prosedürleri anlayarak kuruluşlar kendilerini daha iyi koruyabilir ve bu tür saldırıların etkisini azaltabilirler.
Siber güvenlik tehditleri geliştikçe, dijital varlıkları korumak ve operasyonel bütünlüğü sürdürmek için bilgili ve tetikte olmak büyük önem taşıyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access