هشدار: سرورهای MS-SQL هدف حملات هستند

شرکت Guardicore به تازگی گزارشی درباره فعالیت یک کمپین ارزکاوی به نام Vollgar منتشر کرده است. این کمپین ماشین‌هایی را هدف قرار می‌دهد که Microsoft SQL Server را اجرا می‌کنند.

هشدار: سرورهای MS-SQL هدف حملات هستند

شرکت Guardicore به تازگی گزارشی درباره فعالیت یک کمپین ارزکاوی به نام Vollgar منتشر کرده است. این کمپین ماشین‌هایی را هدف قرار می‌دهد که Microsoft SQL Server را اجرا می‌کنند.

حفاظت از ماشین‌های MS-SQL بسیار مهم است، زیرا این سرورها علاوه بر منابع پردازشی قوی که مورد علاقه ارزکاوها است، دارای پایگاه داده‌هایی با اطلاعات حساس هستند که می‌تواند توسط مهاجمین سرقت شود. کمپین Vollgar نیز دارای ابزارهایی برای اجرای کد روی سیستم قربانی است که می‌تواند قربانی را با مخاطرات بالایی روبرو کند.

فعالیت کمپین Vollgar از سال 2018 تا کنون ادامه داشته است و روزانه حدود دو تا سه هزار سرور را آلوده می‌کند. این بدافزار از طریق حمله آزمون جامع (brute force) به سیستم قربانی نفوذ می‌کند و ماژول‌های مخرب زیادی را روی آن نصب می‌کند. برخی از ماژول‌های نصب شده عبارت‌اند از ابزارهای چندمنظوره دسترسی از راه دور (RAT) و ابزار استخراج ارزهای Vollar و مونرو.

اکثر  سیستم‌های قربانی (60 درصد) تنها مدت کوتاهی آلوده بوده‌اند، اما آلودگی 20 درصد آنها به مدت یک هفته یا بیشتر ادامه داشته است. آلودگی‌های طولانی مدت نشان می‌دهند که ابزارهای امنیتی قادر به مقابله با این حمله نبوده‌اند یا حتی ابزارهای امنیتی وجود نداشته‌اند. ده درصد قربانیان نیز مجدداً آلوده شده‌اند. احتمالاً در این موارد مدیران سیستم‌ها، تنها بدافزار را پاک کرده‌اند و به علت ریشه‌ای آلودگی توجه نکرده‌اند.

نحوه عملکرد

در ابتدای حمله، بدافزار سعی می‌کند به روش آزمون جامع وارد SQL Server شود. پس از ورود موفق، تغییراتی در پیکربندی پایگاه داده انجام می‌شود تا امکان اجرا دستورات در ادامه فراهم شود. برای مثال دستور xp_cmdshell در پایگاه داده فعال می‌شود که به کمک آن می‌توان دستورات شل را اجرا کرد. سپس چند حساب کاربری در پشتی، هم در قالب MS-SQL و هم در قالب سیستم‌عامل، ساخته می‌شوند. در ادامه کدهای دانلودکننده بدافزار اجرا می‌شوند.

دو پلتفرم مختلف روی سرورهای CNC مهاجمان وجود داشته است که قابلیت‌هایی مثل دانلود فایل، نصب سرویس‌های ویندوزی جدید، ثبت کلیدها (key logging)، عکس گرفتن از صفحه نمایش، اجرای شل تعاملی، راه‌اندازی حمله DDoS و… را فراهم می‌کردند.

پیشگیری، شناسایی و مقابله

  • برای پیشگیری از آلودگی توصیه می‌شود سرورهای پایگاه داده خود را از طریق اینترنت به طور عمومی دسترس‌پذیر نکنید، بلکه با استفاده از لیست کنترل دسترسی، تنها دسترسی را برای ماشین‌های خاصی فعال کنید.
  • از گذرواژه‌های قوی برای MS-SQL استفاده کنید.
  • برای تشخیص حمله از ثبت وقایع (logs) و مانیتورینگ استفاده کنید. IPها و دامنه‌هایی که بدافزار با آنها ارتباط برقرار می‌کند را مسدود کنید.
  • در صورتی که سیستمی آلوده شده بود، ارتباط آن را با شبکه قطع کنید.
  • Guardicore ابزاری رایگان برای شناسایی این کمپین منتشر کرده است که با کمک آن می‌توانید تشخیص دهید آیا سیستم شما آلوده شده است یا خیر. این ابزار به همراه لیست IPها و دامنه‌های مخرب در آدرس زیر قابل دسترسی است:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

منبع:

https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack

کلمات کلیدی