Açık kaynaklı XiebroC2 komut ve kontrol (C2) çerçevesinin konuşlandırılmasıyla sonuçlanan, yanlış yönetilen MS-SQL sunucularını hedefleyen saldırılarda bir artış.
Cobalt Strike gibi meşru araçlara benzer şekilde işlevsellik, XiebroC2 bilgi toplama, uzaktan kumanda ve savunma kaçakçılığı için yetenekler sunar ve bu da onu uygun maliyetli bir saldırı platformu arayan tehdit aktörleri için cazip bir seçenek haline getirir.
Doğrulanan bir olayda, saldırganlar yetkisiz erişim elde etmek için halka açık olarak maruz kalan MS-SQL Server kimlik bilgilerini kullandı.
Brute zorlayıcı zayıf veya varsayılan hesap şifrelerinden sonra, davetsiz misafirler MS-SQL uzlaşmaları için ortak olan bir dizi yük dağıtımını gerçekleştirdiler ve kripto para madencileri tercih edilen birincil kötü amaçlı yazılımdır.
Kimlik doğrulandığında, tehdit aktörleri, çalışan MS-SQL sürecinin jetonlarındaki belirli Windows ayrıcalıklarından yararlanan bir ayrıcalık artışı hizmeti olan Juicypotato’yu düşürdü.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC) araştırmacıları, bir SQL Server hizmetinin kendisini, düşük pratik bir hesabı altında faaliyet gösteren Juicypotato, saldırganların sistem ayrıcalıklarına yükseltmesine izin verdi.
İndirme ve yürütme kanıtı, PowerShell’in XiebroC2 yükünü HTTP üzerinden çeken Invoke-WebRequest işlevini gösteren sunucu günlüklerinde yakalandı. Bu dizi, sağlam kimlik bilgisi politikaları veya ağ düzeyinde erişim kontrolleri olmadan halka açık veritabanı sunucularının ortaya koyduğu kritik riskin altını çizmektedir.
Sistem ayrıcalıkları güvence altına alındığında, saldırganlar Xiebroc2’yi doğrudan GitHub deposundan almak ve yüklemek için bir PowerShell komutu yürüttü.
Xiebroc2 çerçevesi
XiebroC2’nin implant bileşeni-çekirdek arka kapı işlevselliği-Windows, Linux ve macOS sistemleri için platformlar arası destek sağlayarak GO’da yazılmıştır.
Dağıtım yapıldıktan sonra, implant saldırganın C2 sunucusuyla bir bağlantı başlatır, önceden yapılandırılmış bir AES tuşunu kullanarak kimlik doğrulaması yapar ve komutları bekler. Ortak özellikler şunları içerir:
- Ters kabuk erişimi.
- Dosya ve süreç yönetimi.
- Ağ izleme ve paket yakalama.
- Ters Proxy Tünelleme.
- Ekran görüntüsü yakalama.
Yürütme üzerine XiebroC2, Process ID (PID), Donanım Kimliği (HWID), bilgisayar adı ve kullanıcı adı gibi çevre ayrıntılarını toplar, ardından tehlikeye atılan ana bilgisayarı kaydetmek için şeffaf bir şekilde C2 sunucusuna bağlanır. ASEC tarafından izlenen olayda, yapılandırma parametreleri aşağıdaki gibidir:
- Hostport: 1.94.185[.]235: 8433.
- Protokol: Oturum/Ters_ws.
- Dinleme Adı: Test2.
- AESKEY: QWERT_CSDMAHUATW.
Bu değerler, implantın TCP üzerinde kalıcı şifreli bir WebSocket oturumu oluşturmasını sağladı ve ağ kesintileri varlığında bile esnek çift yönlü iletişim sağladı.
Bağlandıktan sonra, saldırgan keyfi komutlar yürütebilir veya daha fazla yanal hareket veya veri eksfiltrasyonu için taban çimentolama tabanını kullanabilir.
Hafifletme
Güçlü Kimlik Doğrulama Politikaları Uygulamak: Yöneticiler MS-SQL sunucularında zayıf veya varsayılan kimlik bilgilerini devre dışı bırakmalıdır. Karmaşık, benzersiz şifrelerin uygulanması ve hesap kilitleme politikalarının sağlanması, kaba kuvvet ve sözlük saldırılarının başarı oranını büyük ölçüde azaltacaktır.
Kamuya maruz kalmayı sınırlayın: MS-SQL örneklerine doğrudan internetten erişilememelidir. Yalnızca yetkili uygulama sunucularına veya VPN uç noktalarına veritabanı erişimini kısıtlamak için ağ segmentasyonu ve güvenlik duvarı kurallarını kullanın.
Yama ve Güncelleme: MS-SQL hizmetlerini çalıştıran tüm uç noktaların tamamen yamalı olduğundan ve en son güvenlik güncellemelerini çalıştırdığından emin olun. Servis-barınma süreçlerindeki güvenlik açıkları, ilk uzlaşma ve ayrıcalık artışını kolaylaştırabilir.
Monitör ve Uyarı: Anormal giriş denemelerini, beklenmedik ayrıcalık-artma aracı yürütme (örn. Juicypotato) ve olağandışı giden ağ bağlantılarını işaretleyebilen izinsiz giriş sistemlerini dağıtın-özellikle bilinmeyen harici IP adreslerine ve nadir bağlantı noktalarına.
Uç nokta koruması: Juicypotato ve C2 çerçeve bileşenleri gibi bilinen araçları tespit etmek ve karantinaya almak için güncel antimalware çözümleri kullanın. Davranışsal analiz, keşif veya yanal hareket faaliyetlerinin erken uyarısını sağlayabilir.
ASEC, veritabanı sunucularını hedefleyen ortaya çıkan tehditleri izlemeye devam ediyor ve kuruluşları derinlemesine bir savunma yaklaşımı benimsemeye çağırıyor.
Kimlik doğrulama mekanizmalarının güvence altına alınmaması, güncel yamaların korunması ve ağ erişimini kısıtlamak, tekrarlanan enfeksiyonlara ve kritik altyapının tehlikeye atılmasına yol açabilir. Bugün önleyici eylem, yarının gelişmiş saldırı çerçevelerine karşı koruyacak.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.