0
0
Servidores SQL da Microsoft mal protegidos se tornaram alvo de vários grupos de cibercriminosos, incluindo gangues de ransomware. Em uma recente campanha de ataque denominada DB#JAMMER, hackers usaram ataques de força bruta para comprometer servidores MSSQL e implantar o Cobalt Strike e uma variante do ransomware Mimic chamada FreeWorld.
“Um dos destaques dessa camapnha é como a infraestrutura de ferramentas e as cargas úteis do invasor são usadas”, disseram pesquisadores da empresa de segurança Securonix em um novo relatório. “Algumas dessas ferramentas incluem software de enumeração, cargas de RAT (trojan de acesso remoto), software de exploração e roubo de credenciais e, finalmente, cargas úteis de ransomware.”
Os invasores usam técnicas de força bruta para adivinhar as credenciais dos servidores MSSQL visados, mas não está claro se isso envolveu tentativas baseadas em dicionário ou de pulverização de senha. O último geralmente envolve combinações de nome de usuário e senha obtidas de outros vazamentos de banco de dados.
Após o acesso inicial, os invasores investigaram o banco de dados enumerando todos os usuários com acesso a ele e verificaram se uma função chamada xp_cmdshell está habilitada. Essa instrução Transact-SQL permite que usuários de banco de dados executem comandos shell no Windows e retornem a saída como texto. Os invasores aproveitaram o xp_cmdshell extensivamente, primeiro para coletar informações sobre o sistema e o ambiente de rede, invocando ferramentas do Windows como wmic.exe, net.exe e ipconfig.exe, e depois para fazer modificações nas contas do Windows e no registro do sistema.
“Três novos usuários foram criados no host da vítima, incluindo windows, adminv$ e mediaadmin$”, disseram os pesquisadores da Securonix. “Cada usuário foi adicionado aos [grupos] ‘usuários de área de trabalho remota’ e ‘administradores’. Curiosamente, os invasores tentaram executar uma grande linha única, que criaria os usuários e modificaria a associação ao grupo. No entanto, diversas variações do comando foram executadas para dar conta de grupos em diferentes idiomas: inglês, alemão, polonês, espanhol e catalão.”
Outras modificações foram feitas nos novos usuários para que suas senhas e sessões de login nunca expirassem. As alterações no registro também foram extensas e incluíram a ativação do serviço Remote Desktop Protocol (RDP), a desativação das restrições de controle de acesso do usuário e a ocultação de usuários logados remotamente na tela de login local.
O objetivo de tudo isso era fornecer aos invasores a capacidade de controlar remotamente o sistema por meio de um método mais confiável e mais difícil de detectar do que os comandos do banco de dados xp_cmdshell. No entanto, um problema que encontraram foi que as conexões RDP de entrada foram bloqueadas pelo firewall da rede, então eles tentaram implantar um proxy reverso e uma solução de tunelamento chamada Ngrok.
Os invasores também configuraram um compartilhamento SMB remoto em um servidor sob seu controle para montar localmente um diretório que continha muitas de suas ferramentas e cargas úteis. Isso incluiu um agente de comando e controle Cobalt Strike salvo como srv.exe e uma versão do software de desktop remoto AnyDesk.
Um scanner de porta de rede e as ferramentas de despejo de credenciais Mimikatz também foram implantados para tentar o movimento lateral para outros sistemas na rede. Finalmente, quando os invasores consideraram o sistema totalmente sob seu controle, eles implantaram um arquivo chamado 5000.exe que era um dropper para um programa de ransomware que os invasores chamam de FreeWorld, mas na verdade é uma variante mais recente do conhecido ransomware Mimic.Tanto o Mimic quanto o FreeWorld usam um aplicativo chamado Everything.exe para localizar arquivos a serem criptografados. Os arquivos criptografados são armazenados com uma extensão .FreeWorldEncryption e o ransomware descarta um arquivo com instruções sobre como pagar o resgate chamado FreeWorld-Contact.txt.
De acordo com um relatório de julho da empresa de segurança Trustwave, o MSSQL é de longe o sistema de gerenciamento de banco de dados relacional mais visado e a maioria dos ataques emprega técnicas de força bruta para adivinhação de senhas. Isso significa que é fundamental ter senhas exclusivas e complexas para bancos de dados MSSQL expostos à Internet. Conforme também destacado neste ataque, o procedimento xp_cmdshell pode representar um risco sério e deve ser limitado aos sistemas tanto quanto possível. Sem ele, os invasores teriam muito mais dificuldade para obter a execução remota de código nos sistemas.
Acesse o relatório completo sobre a campanha de ataque hacker DB#JAMMER no blog da Securonix clicando aqui
FONTE: CISO ADVISOR