هشدار مایكروسافت به كاربران سرورهای MSSQL
با این که این اولین باری نیست که سرورهای MSSQL هدف چنین حملاتی قرار میگیرند، اما محققان اعلام کردهاند که مهاجمان در این کارزار از ابزار معتبر SQLPS استفاده میکنند تا فرامین SQL Server PowerShell را اجرا کنند.
استفاده از ابزارها و توابع عادی و سالم سیستمعامل و دیگر نرمافزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روشهای جدید برای مخفی ماندن و شناسایی نشدن توسط سیستمهای امنیتی است. به این روش “کسب روزی از زمین” یا Living off the Land – بهاختصار LotL – گفته میشود.
تیم اطلاعات امنیتی مایکروسافت اعلام کرده است که مهاجمان با بهکارگیری ابزار sqlps.exe بدون ایجاد فایلهای جدید بر روی سیستم و در نتیجه مخفی ماندن طولانی مدت از دید سیستمهای امنیتی، دستوراتی را برای رصد سیستم و تغییر حالت شروع سرویس SQL به LocalSystem، اجرا میکنند.
مهاجمان همچنین از ابزارsqlps.exe برای ایجاد یک حساب کاربری جدید و افزودن آن به نقش sysadmin، استفاده میکنند تا به آنها امکان کنترل کامل سرور SQL را بدهد. ازاینرو آنها توانایی انجام سایر اقدامات نظیر اجرای کدهای مخرب همچون استخراجکننده رمزارز را به دست میآورند.
استفاده از SQLPS کمک میکند مهاجمان هیچ ردی از خود باقی نگذارند تا هنگام تحلیل حملات، آنان قابلشناسایی نباشد. استفاده از SQLPS روشی مؤثر برای دورزدن قابلیت Script Block Logging است، در غیر این صورت، دستورات اجرا شده در Windows Event Log ثبت و ضبط میشوند.
حملات مشابهی علیه سرورهای MSSQL در فروردین 1401 گزارش شده است که این سرورها برای بارگذاری Gh0stCringe (معروف به CirenegRAT)، هدف قرار گرفتند. Gh0stCringe نوعی «تروجان» است که شرایط دسترسی غیرمجاز از راه دور (Remote Access Trojan) را برای مهاجمان فراهم میکند.
در کارزار قبلی در بهمن 1400، مهاجمان سرورهای MSSQL را هک کردند تا از فرمان Microsoft SQL xp_cmdshell جهت تزریق ابزار Cobalt Strike استفاده کنند.
بااینحال، سالهای زیادی است که سرورهای MSSQL در کارزارهای گسترده هدف قرار میگیرند. مهاجمان همواره در تلاش هستند تا روزانه هزاران سرور آسیبپذیر را برای دستیابی به اهداف نهایی مختلف، هک کنند.
یکی از این مجموعه حملات که به Vollgar مشهور شد و تقریباً دو سال طول کشید، مهاجمان از طریق حملات Brute-force استخراجکنندههای رمزارز همچون Monero (XMR) و Vollar (VDS) را بر روی سرورها کار گذاشتند و با نصب بدافزارهایی بر روی 2 هزار تا 3 هزار سرور، دسترسی غیرمجاز از راه دور بر روی آنها ایجاد کردند.
به راهبران امنیتی توصیه میشود برای محافظت از سرورهای MSSQL ، اقدامات زیر را در دستور کار قرار دهند:
سرورهای MSSQL به اینترنت متصل نباشند،
برای حساب کاربری ادمین یک رمز عبور پیچیده انتخاب شود بهگونهای که قابل حدس زدن یا نفوذ از طریق روش “سعی و خطا” (Brute-force) نباشد.
سرور در پشت فایروال (دیواره آتش) قرار داده شود.
گزارشگیری (Logging) فعال باشد تا هرگونه فعالیتهای مشکوک یا غیرمنتظره یا تلاشهای مکرر برای ورود به سیستم دراسرعوقت شناسایی شوند.
برای کاهش سطح و وسعت حمله، آخرین بهروزرسانیهای امنیتی اعمال شوند و حملاتی مسدود شوندکه بهرهجوها (Exploit) را برای سوءاستفاده از آسیبپذیریهای شناخته شده به کار میگیرند.
منبع: