Исследователи безопасности обнаружили новые атаки Cobalt Strike, нацеленные на уязвимые серверы Microsoft SQL. Хотя открытия являются маяками, они могут привести к более глубокому проникновению на серверы и, в конечном итоге, к доставке вредоносных программ.
Microsoft SQL — одна из самых популярных систем управления базами данных, которая используется крупными интернет-приложениями, а также миллионами более мелких служб.
Одна из проблем заключается в том, что многие развертывания, особенно небольшие, не обеспечивают надлежащей безопасности и защищены слабыми паролями. В новом отчете ASEC из Ahn Lab говорится, что злоумышленники используют эту уязвимость с помощью Cobalt Strike.
Злоумышленники будут сканировать серверы, чтобы найти открытый TCP-порт 1433, что является одним из признаков того, что сервер MS-SQL является общедоступным. Когда открытый порт найден, хакеры проводят атаки методом грубой силы и словаря, чтобы узнать пароль.
Взлом пароля возможен только в том случае, если пароль слабый. Если это произойдет, злоумышленник получит доступ к учетным записям администратора SQL Server. Среди атак, которые ASEC наблюдала, в том числе майнеры монет и создание бэкдоров с помощью Cobalt Strike.
Черный ход
При установке Cobalt Strike через процесс командной оболочки маяк помещается в законный процесс Windows wwanmm.dll. Он остается скрытым, предоставляя злоумышленнику постоянный доступ, когда ему это нужно.
«Поскольку маяк, который получает команду злоумышленника и выполняет вредоносное поведение, не существует в подозрительной области памяти, а вместо этого работает в обычном модуле wwanmm.dll, он может обойти обнаружение на основе памяти», указывает отчет группы ASEC компании Ahn Lab.
Стоит отметить, что Cobalt Strike задумывался как инструмент этического взлома, но его также стали использовать киберпреступники.
Как правило, эту атаку можно относительно легко предотвратить. Все, что нужно администраторам MS-SQL, — это создать надежный пароль.
Совет дня: Функция истории буфера обмена Windows обеспечивает функциональность для устройства, пространства и времени, позволяя копировать текст на один компьютер и вставлять текст через несколько дней на другой компьютер. Все это возможно с помощью диспетчера буфера обмена Windows 10, который позволяет просматривать, удалять, закреплять и очищать историю буфера обмена по желанию.
В нашем руководстве мы покажем вам, как включить эту функцию, очистить историю буфера обмена и включить/отключить синхронизацию буфера обмена в соответствии с вашими предпочтениями. Вы также можете создать ярлык в буфере обмена для быстрого удаления сохраненного контента.