MSSQL Datenbank Ausnutzung: Hacker verbreiten FreeWorld
Im sich ständig verändernden Spektrum der Cyber-Bedrohungen, haben sich schlecht gesicherte Microsoft SQL (MSSQL)-Server als Hauptziel für Hacker erwiesenvor allem Ransomware-Gruppen. In einer jüngsten Welle von Ausnutzung von MSSQL-Datenbanken Angriffe, bekannt als DB#JAMMERbenutzten die Betrüger Brute-Force-Techniken, um in MSSQL-Server einzudringen, bevor sie eine Kombination aus Cobalt Strike und einer neuen Form der Mimic Ransomware, bekannt als FreeWorld Ransomware-Angriff.
Die ausgeklügelte Angriffsstrategie - Zugang und Persistenz
Die Angreifer starteten ihr Vorhaben, Ransomware, die auf MSSQL abzielt indem sie Brute-Force-Ansätze verwenden, um MSSQL Server Anmeldeinformationen zu erraten. Es ist unklar ob sie wörterbuchbasierte Ansätze oder Passwort-Sprayingverwendet haben, bei dem Anmelde- und Passwortkombinationen verwendet werden, die aus früheren Datenbankhacks stammen.
Wenn es um die Ausnutzung von MSSQL-Datenbanken geht, hat sich gezeigt, dass Hacker Datenbanken ausnutzen indem sie einer Pipeline folgen. Die Hacker untersuchten die Datenbank akribisch, nachdem sie den ersten Zugriff erhalten hatten, und zählten alle Benutzer mit Zugriffsrechten auf. Sie suchten auch nach dem Vorhandensein einer Funktion namens xp_cmdshell. Diese Transact-SQL-Anweisung ermöglicht es Datenbankadministratoren, Shell-Befehle in der Windows-Umgebung auszuführen und die Ergebnisse als Text zu erhalten. Die Angreifer machten von xp_cmdshell regen Gebrauch. Sie begannen mit dem Start von Windows-Anwendungen wie wmic.exe, net.exe und ipconfig.exe, um System- und Netzwerkinformationen zu erhalten. Anschließend änderten sie damit Windows-Konten und die Systemregistrierung.
Überraschenderweise fügten die Angreifer drei neue Benutzer auf dem Host des Opfers hinzu: "Windows", "adminv$" und "mediaadmin$". Jeder dieser Benutzer wurde zu den Gruppen "Administratoren" und "Remote-Desktop-Benutzer" hinzugefügt. Interessanterweise erstellten die Angreifer diese Konten und änderten die Gruppenmitgliedschaften mit einem umfangreichen Einzeiler-Befehl, der auf mehrere Sprachen zugeschnitten war, darunter Englisch, Deutsch, Polnisch, Spanisch und Katalanisch.
Weitere wurden Änderungen vorgenommen, um sicherzustellen, dass die Passwörter und Anmeldesitzungen der neuen Benutzer niemals ablaufen würden. Die Registrierung wurde umfassend geändert, einschließlich der Aktivierung des Remote Desktop Protocol (RDP)-Dienstes, der Deaktivierung von Beschränkungen der Benutzerzugriffskontrolle und des Ausblendens von angemeldeten Remote-Benutzern auf dem lokalen Anmeldebildschirm. Diese Verletzung der Datenbanksicherheit wurden entwickelt, um den Angreifern auf subtilere und schwerer zu entdeckende Weise als mit den Datenbankbefehlen xp_cmdshell die Fernkontrolle über das System zu ermöglichen.
Allerdings stießen die Hacker auf einen Stolperstein: Die Netzwerk-Firewall verbot eingehende RDP-Verbindungen. Um dies zu umgehen, versuchten sie, das Programm Ngrokzu implementieren, eine Reverse-Proxy- und Tunneling-Lösung.
Bösartige Payloads
Die Angreifer erstellten eine entfernte SMB-Freigabe für einen von ihnen kontrollierten Server, die es ihnen ermöglichte, ein Verzeichnis mit ihren Tools und Nutzdaten lokal einzubinden. Dieses Verzeichnis enthielt einen Cobalt Strike Command-and-Control-Agent, der als "srv.exe" gespeichert war, sowie eine Version der AnyDesk Remote-Desktop-Software.
Außerdem haben sie einen Netzwerk-Port-Scanner und die Mimikatz-Anmeldedaten-Dumping-Tools verwendet, um zu versuchen, durch das Netzwerk zu navigieren. Als die Angreifer feststellten, dass der Rechner vollständig infiltriert war, ließen sie eine Datei namens '5000.exeab, bei der es sich um einen Dropper für ein Ransomware-Programm namens FreeWorld handelte. In Wirklichkeit ist FreeWorld eine aktualisierte Version der bekannten Ransomware Mimic.
Mimic und FreeWorld verwenden beide eine Begleitanwendung namens "Everything.exe", um Dateien für die Verschlüsselung zu finden. Die verschlüsselten Dateien haben die Erweiterung ".FreeWorldEncryption", und die Ransomware enthält eine Datei "FreeWorld-Contact.txt" mit Anweisungen zur Zahlung des Lösegelds.
Abwehrmaßnahmen gegen MSSQL-Datenbankausbeutung
Eine Trustwave-Untersuchung hat ergeben, ist MSSQL das am häufigsten angegriffene relationale Datenbankmanagementsystem. Die Mehrheit der Angriffe verwendet Brute-Force-Passwortauswertungstechniken, was die Bedeutung der Verwendung eindeutiger und komplizierter Passwörter für MSSQL-Datenbanken, die über das Internet zugänglich sind, unterstreicht.
MSSQL Sicherheit Best Practices
Für MSSQL Verwundbarkeiten zu verhindernist es auch wichtig, die die Verwendung der xp_cmdshell-Methode auf Systemen einzuschränken. Ohne diese Methode hätten es Angreifer sehr viel schwerer, Remotecodeausführung auf Zielsystemen zu erreichen.
Erwägen Sie die Verwendung von VPN-Tunneln für MSSQL-Server zu schützen zu verwenden, anstatt sie direkt dem Internet auszusetzen, um die Sicherheit zu erhöhen. Es wird empfohlen, gängige Malware-Verzeichnisse wie "C:WindowsTemp" regelmäßig zu überwachen. Die Überwachung auf Prozessebene, wie z. B. Sysmon und PowerShell-Logging, kann ebenfalls dazu beitragen, Ihre Verteidigung gegen diese Ransomware-Verteilungsmethoden.
Schlussfolgerung
Angesichts der zunehmenden Cyber-Bedrohungen ist es für Unternehmen von entscheidender Bedeutung, sich bewusst zu sein und starke Sicherheitsmaßnahmen für MSSQL Datenbank Sicherheit. Sie können Ihre Verteidigung gegen Angreifer, die versuchen, Schwachstellen in Ihrer Datenbankarchitektur auszunutzen, stärken, indem Sie sichere Passwörter verwenden, gefährliche Prozeduren minimieren und eine effektive Überwachung einführen. Dadurch werden Ausfallzeiten reduziert und die Einhaltung von Vorschriften gewährleistet. Darüber hinaus sollten Sie auch lernen, wie Sie Ransomware wiederherstellenlernen, um die Geschäftskontinuität angesichts wachsender Bedrohungen wie FreeWorld Ransomware zu gewährleisten.
Zu den Quellen für diesen Artikel gehören Artikel in Cybersecurity News und CSO.