Support technique
Documentation
Connexion
Nous contacter
Exploitation de la base de données MSSQL : Des pirates informatiques diffusent FreeWorld
Wajahat Raja
Le 18 septembre 2023 - L'équipe d'experts de TuxCare
Dans le spectre en constante évolution des cybermenaces, les serveurs Microsoft SQL (MSSQL) mal sécurisés sont devenus des cibles privilégiées pour les pirates informatiques, les serveurs Microsoft SQL (MSSQL) mal sécurisés sont devenus des cibles privilégiées pour les pirates informatiquesnotamment les groupes de ransomware. Lors d'une récente vague d'exploitation de bases de données exploitation de bases de données MSSQL connues sous le nom de DB#JAMMERles fraudeurs ont utilisé des techniques de force brute pour pénétrer dans les serveurs MSSQL avant de lancer une combinaison de Cobalt Strike et d'une nouvelle forme du ransomware Mimic, connue sous le nom de Attaque du ransomware FreeWorld.
La stratégie d'attaque complexe - Accès et persistance
Les attaquants ont mis en place leur stratagème, ransomware, ciblant MSSQL en utilisant des approches de force brute pour deviner les informations d'identification du serveur MSSQL. Il n'est pas clair s'ils ont utilisé des approches basées sur des dictionnaires ou des pulvérisations de mots de passe. des approches basées sur des dictionnaires ou la pulvérisation de mots de passequi consiste à utiliser des combinaisons d'identifiants et de mots de passe recueillies lors de piratages antérieurs de bases de données.
En ce qui concerne l'exploitation des bases de données MSSQL, il a été révélé que les pirates exploitent les bases de données en suivant un pipeline. Les pirates ont méticuleusement examiné la base de données après avoir obtenu un premier accès, en énumérant tous les utilisateurs disposant de privilèges d'accès. Ils ont également recherché la présence d'une fonction connue sous le nom de xp_cmdshell. Cette instruction Transact-SQL permet aux administrateurs de bases de données d'exécuter des commandes shell dans l'environnement Windows et d'obtenir les résultats sous forme de texte. Les attaquants ont fait un usage considérable de xp_cmdshell. Ils ont commencé par lancer des applications Windows telles que wmic.exe, net.exe et ipconfig.exe pour obtenir des informations sur le système et le réseau. Ils l'ont ensuite utilisé pour modifier les comptes Windows et le registre du système.
De manière surprenante, les attaquants ont ajouté trois nouveaux utilisateurs à l'hôte de la victime : "Windows", "adminv$" et "mediaadmin$". Chacun de ces utilisateurs a été ajouté aux groupes "administrateurs" et "utilisateurs de bureau à distance". Il est intéressant de noter que les pirates ont créé ces comptes et modifié l'appartenance aux groupes à l'aide d'une commande massive en une ligne adaptée à plusieurs langues, dont l'anglais, l'allemand, le polonais, l'espagnol et le catalan.
D'autres des modifications ont été apportées pour garantir que les mots de passe et les sessions de connexion des nouveaux utilisateurs n'expireraient jamais. Le registre a été modifié en profondeur, notamment pour activer le service RDP (Remote Desktop Protocol), désactiver les limitations du contrôle d'accès des utilisateurs et masquer les utilisateurs connectés à distance sur l'écran de connexion local. Ces violation de la sécurité des bases de données ont été conçues pour permettre aux attaquants de prendre le contrôle du système à distance d'une manière plus subtile et plus difficile à détecter qu'en utilisant les commandes xp_cmdshell de la base de données.
Cependant, les pirates se sont heurtés à un obstacle : le pare-feu du réseau interdisait les connexions RDP entrantes. Pour contourner ce problème, ils ont tenté d'implémenter Ngrokune solution de proxy inverse et de tunneling.
Charges utiles malveillantes
Les attaquants ont créé un partage SMB à distance vers un serveur qu'ils contrôlaient, ce qui leur a permis de monter localement un répertoire contenant leurs outils et leurs charges utiles. Ce répertoire contenait un agent de commande et de contrôle Cobalt Strike enregistré sous le nom de "srv.exe" ainsi qu'une version du logiciel de bureau à distance AnyDesk.
Ils ont également utilisé un scanner de ports réseau et les outils de vidage d'informations d'identification Mimikatz pour tenter de naviguer sur le réseau.. Lorsque les attaquants ont déterminé que la machine était totalement pénétrée, ils ont déposé un fichier appelé '5000.exequi était un dropper pour un programme de ransomware appelé FreeWorld. En réalité, FreeWorld est une version actualisée du célèbre ransomware Mimic.
Mimic et FreeWorld utilisent tous deux une application complémentaire appelée "Everything.exe" pour localiser les fichiers à chiffrer. Les fichiers chiffrés portent l'extension '.FreeWorldEncryption' et le ransomware inclut un fichier 'FreeWorld-Contact.txt' contenant des instructions sur la manière de payer la rançon.
Mesures de défense contre l'exploitation des bases de données MSSQL
Selon une enquête de Trustwave, MSSQL est le système de gestion de bases de données relationnelles le plus ciblé. La majorité des attaques utilisent des techniques de vérification de mot de passe par force brute, ce qui souligne l'importance d'utiliser des mots de passe uniques et compliqués pour les bases de données MSSQL qui sont accessibles via l'internet.
Meilleures pratiques en matière de sécurité MSSQL
Pour prévenir les vulnérabilités de MSSQLil est également essentiel de limiter l'utilisation de la méthode xp_cmdshell sur les systèmes. Sans cette méthode, les attaquants auraient beaucoup plus de difficultés à obtenir l'exécution de codes à distance sur les systèmes cibles.
Envisager l'utilisation de tunnels VPN pour protéger les serveurs MSSQL plutôt que de les exposer directement à l'internet afin de renforcer la sécurité. Il est recommandé de surveiller régulièrement les répertoires de stockage des logiciels malveillants, tels que "C:WindowsTemp". La surveillance au niveau des processus, comme Sysmon et la journalisation PowerShell, peut également contribuer à renforcer vos défenses contre ces méthodes de distribution des ransomwares. méthodes de distribution des ransomwares.
Conclusion
Face à l'augmentation des cyber-menaces, il est essentiel pour les organisations d'être conscientes des risques et de mettre en place des mesures de sécurité solides pour la protection de l'environnement. et de mettre en œuvre des mesures de sécurité solides pour la sécurité des bases de données MSSQL. Vous pouvez renforcer vos défenses contre les attaquants qui cherchent à exploiter les failles dans l'architecture de votre base de données en en utilisant des mots de passe sécurisés, en minimisant les procédures dangereuses et en adoptant une surveillance efficace.. Vous réduirez ainsi les temps d'arrêt et garantirez la conformité. En outre, vous devriez également apprendre à se remettre d'un ransomwarecar cela peut contribuer à assurer la continuité de l'activité face à des menaces croissantes telles que le ransomware FreeWorld.
Les sources de cet article sont notamment des articles parus dans Cybersecurity News et du CSO.
