Servidores de banco de dados Microsoft SQL sem patches e hackers com Cobalt Strike
Servidores vulneráveis do Microsoft SQL (MS SQL) voltados para a Internet estão sendo alvo de agentes de ameaças como parte de uma nova campanha para implantar a ferramenta de simulação de adversários Cobalt Strike em hosts comprometidos.
“Os ataques que visam servidores MSSQL incluem ataques ao ambiente, onde sua vulnerabilidade não foi corrigida, força bruta e ataque de dicionário contra servidores mal gerenciados”, conforme a empresa sul-coreana de segurança cibernética AhnLab Security Emergency Response Center (ASEC) em um relatório publicado na segunda-feira . .
Cobalt Strike é uma estrutura comercial de teste de penetração completa que permite que um invasor implante um agente chamado “Beacon” na máquina da vítima, concedendo ao operador acesso remoto ao sistema. Embora anunciado como uma plataforma de simulação de ameaças da equipe vermelha, as versões crackeadas do software têm sido usadas ativamente por uma ampla variedade de agentes de ameaças.
As invasões observadas pelo ASEC envolvem o agente não identificado que verifica a porta 1433 para verificar se os servidores MS SQL expostos executam ataques de força bruta ou de dicionário contra a conta do administrador do sistema, ou seja, conta “sa” , para tentar efetuar login.
Isso não quer dizer que os servidores não acessíveis pela Internet não sejam vulneráveis, com o agente de ameaças por trás do malware LemonDuck que escaneia a mesma porta para se mover lateralmente pela rede.
“Gerenciar as credenciais da conta de administrador para que fiquem vulneráveis a ataques de força bruta e de dicionário como acima ou não alterar as credenciais periodicamente, pode tornar o servidor MS-SQL o principal alvo dos invasores”, conforme os pesquisadores.
Ao ganhar uma posição com sucesso, a próxima fase do ataque funciona gerando um shell de comando do Windows por meio do processo MS SQL “sqlservr.exe” para baixar a carga útil do próximo estágio que abriga o binário Cobalt Strike codificado no sistema.
Os ataques finalmente culminam com o malware decodificando o executável Cobalt Strike, seguido por injetá-lo no processo legítimo do Microsoft Build Engine (MSBuild), que foi anteriormente abusado por agentes mal-intencionados para entregar trojans de acesso remoto e malware de roubo de senha no alvo de sistemas Windows.
Além disso, o Cobalt Strike executado no MSBuild.exe vem com configurações adicionais para evitar a detecção de software de segurança. Ele consegue isso carregando “wwanmm.dll”, uma biblioteca do Windows para o Wwan Media Manager e, em seguida, gravando e executando o Beacon na área de memória da DLL.
“Como o sinalizador que recebe o comando do invasor e executa o comportamento malicioso não existe em uma área de memória suspeita e, em vez disso opera no módulo normal wwanmm.dll, ele pode ignorar a detecção baseada em memória”, observaram os pesquisadores.
Este artigo é uma tradução de: https://thehackernews.com/2022/02/hackers-backdoor-unpatched-microsoft.html (Autor: )
