ClickCease Explotación de la base de datos MSSQL: Los hackers distribuyen FreeWorld

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Explotación de la base de datos MSSQL: Los hackers distribuyen FreeWorld

Wajahat Raja

18 de septiembre de 2023 - Equipo de expertos TuxCare

En el espectro siempre cambiante de las ciberamenazas, los servidores Microsoft SQL (MSSQL) mal protegidos se han convertido en objetivos clave para los hackersespecialmente los grupos de ransomware. En una reciente oleada de explotación de bases de datos MSSQL conocidos como DB#JAMMERlos estafadores utilizaron técnicas de fuerza bruta para entrar en servidores MSSQL antes de lanzar una combinación de Cobalt Strike y una nueva forma del ransomware ransomware Mimic conocido como ataque ransomware FreeWorld.

 

La intrincada estrategia de ataque: acceso y persistencia

 

Los atacantes iniciaron su ransomware, dirigido a MSSQL utilizando métodos de fuerza bruta para adivinar las credenciales del servidor MSSQL. No está claro si utilizaron enfoques basados en diccionarios o la pulverización de contraseñasque consiste en utilizar combinaciones de nombres de usuario y contraseñas obtenidas de ataques anteriores a bases de datos.

Cuando se trata de la explotación de bases de datos MSSQL, se ha revelado que los hackers explotan bases de datos siguiendo un proceso. Los hackers examinaron meticulosamente la base de datos después de obtener el primer acceso, enumerando todos los usuarios con privilegios de acceso. También buscaron la presencia de una función conocida como xp_cmdshell. Esta sentencia Transact-SQL permite a los administradores de bases de datos ejecutar comandos shell en el entorno Windows y obtener los resultados en forma de texto. Los atacantes hicieron un uso considerable de xp_cmdshell. Comenzaron ejecutando aplicaciones de Windows como wmic.exe, net.exe e ipconfig.exe para obtener información del sistema y de la red. A continuación, lo utilizaban para alterar las cuentas de Windows y el registro del sistema.

Sorprendentemente, los atacantes añadieron tres nuevos usuarios al host de la víctima: 'Windows', 'adminv$' y 'mediaadmin$'. Cada uno de estos usuarios fue añadido a los grupos "administradores" y "usuarios de escritorio remoto". Curiosamente, los atacantes crearon estas cuentas y modificaron la pertenencia a los grupos utilizando un comando masivo de una sola línea que estaba adaptado a varios idiomas, incluyendo inglés, alemán, polaco, español y catalán.

En para garantizar que las contraseñas y las sesiones de los nuevos usuarios no caducaran nunca.. El registro se modificó ampliamente, incluyendo la habilitación del servicio de Protocolo de Escritorio Remoto (RDP), la desactivación de las limitaciones de Control de Acceso de Usuario y la ocultación de los usuarios remotos conectados de la pantalla de inicio de sesión local. Estos violación de la seguridad de la base de datos fueron diseñados para proporcionar a los atacantes control remoto sobre el sistema de una forma más sutil y difícil de detectar que utilizando los comandos xp_cmdshell de la base de datos.

Sin embargo, los hackers se encontraron con un obstáculo: el cortafuegos de la red prohibía las conexiones RDP entrantes. Para evitarlo, intentaron implementar Ngrokun proxy inverso y una solución de túnel.

 

Cargas maliciosas

 

Los atacantes crearon un recurso compartido SMB remoto a un servidor que controlaban, lo que les permitió montar localmente un directorio que contenía sus herramientas y cargas útiles. Este repositorio contenía un agente de comando y control Cobalt Strike guardado como 'srv.exe', así como una versión del software de escritorio remoto AnyDesk.

También utilizaron un escáner de puertos de red y las herramientas de volcado de credenciales Mimikatz para intentar navegar por la red.. Cuando los atacantes determinaron que la máquina estaba totalmente penetrada, dejaron caer un archivo llamado '5000.exeque era un dropper para un programa ransomware llamado FreeWorld. En realidad, FreeWorld es una versión actualizada del conocido ransomware Mimic.

Tanto Mimic como FreeWorld utilizan una aplicación complementaria llamada 'Everything.exe' para localizar los archivos a cifrar. Los archivos cifrados tienen una extensión '.FreeWorldEncryption', y el ransomware incluye un archivo 'FreeWorld-Contact.txt' con instrucciones sobre cómo pagar el rescate.

 

Medidas defensivas contra la explotación de bases de datos MSSQL

 

Según una investigación de Trustwave MSSQL es el sistema de gestión de bases de datos relacionales más atacado. La mayoría de los ataques utilizan técnicas de adivinación de contraseñas por fuerza bruta, lo que subraya la importancia de utilizar contraseñas únicas y complicadas para las bases de datos MSSQL accesibles a través de Internet.

 

Buenas prácticas de seguridad en MSSQL

 

Para prevenir las vulnerabilidades de MSSQLtambién es fundamental limitar el uso del método xp_cmdshell en los sistemas. Sin él, los atacantes lo tendrían mucho más difícil para conseguir la ejecución remota de código en los sistemas objetivo.

Considere el uso de túneles VPN para proteger los servidores MSSQL en lugar de exponerlos directamente a Internet para aumentar la seguridad. Se recomienda supervisar periódicamente los directorios de almacenamiento de malware habituales, como "C:WindowsTemp". La supervisión a nivel de proceso, como el registro de Sysmon y PowerShell, también puede ayudar a reforzar las defensas contra estos métodos de distribución de ransomware. métodos de distribución de ransomware.

 

Conclusión

 

A medida que crecen las amenazas cibernéticas, es fundamental que las organizaciones conozcan y apliquen medidas de seguridad sólidas para implementen fuertes medidas de seguridad para seguridad de bases de datos MSSQL. Puede reforzar sus defensas contra los atacantes que buscan explotar los fallos en la arquitectura de su base de datos mediante contraseñas seguras, minimizando los procedimientos peligrosos y adoptando una supervisión eficaz.. Esto reducirá el tiempo de inactividad y garantizará el cumplimiento. Además, también debe aprender a recuperarse del ransomwareya que puede ayudar a garantizar la continuidad de la empresa frente a amenazas crecientes como el ransomware FreeWorld.

Las fuentes de este artículo incluyen artículos en Cybersecurity News y CSO.

Resumen
Explotación de la base de datos MSSQL: Los hackers distribuyen FreeWorld
Nombre del artículo
Explotación de la base de datos MSSQL: Los hackers distribuyen FreeWorld
Descripción
Aprenda a proteger sus bases de datos MSSQL contra la explotación. Explore la prevención de vulnerabilidades de MSSQL y los conocimientos sobre ataques de ransomware.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín