هشدار: سرورهای MS-SQL هدف حملات هستند
شرکت Guardicore به تازگی گزارشی درباره فعالیت یک کمپین ارزکاوی به نام Vollgar منتشر کرده است. این کمپین ماشینهایی را هدف قرار میدهد که Microsoft SQL Server را اجرا میکنند.
هشدار: سرورهای MS-SQL هدف حملات هستندشرکت Guardicore به تازگی گزارشی درباره فعالیت یک کمپین ارزکاوی به نام Vollgar منتشر کرده است. این کمپین ماشینهایی را هدف قرار میدهد که Microsoft SQL Server را اجرا میکنند. حفاظت از ماشینهای MS-SQL بسیار مهم است، زیرا این سرورها علاوه بر منابع پردازشی قوی که مورد علاقه ارزکاوها است، دارای پایگاه دادههایی با اطلاعات حساس هستند که میتواند توسط مهاجمین سرقت شود. کمپین Vollgar نیز دارای ابزارهایی برای اجرای کد روی سیستم قربانی است که میتواند قربانی را با مخاطرات بالایی روبرو کند. |
فعالیت کمپین Vollgar از سال 2018 تا کنون ادامه داشته است و روزانه حدود دو تا سه هزار سرور را آلوده میکند. این بدافزار از طریق حمله آزمون جامع (brute force) به سیستم قربانی نفوذ میکند و ماژولهای مخرب زیادی را روی آن نصب میکند. برخی از ماژولهای نصب شده عبارتاند از ابزارهای چندمنظوره دسترسی از راه دور (RAT) و ابزار استخراج ارزهای Vollar و مونرو. اکثر سیستمهای قربانی (60 درصد) تنها مدت کوتاهی آلوده بودهاند، اما آلودگی 20 درصد آنها به مدت یک هفته یا بیشتر ادامه داشته است. آلودگیهای طولانی مدت نشان میدهند که ابزارهای امنیتی قادر به مقابله با این حمله نبودهاند یا حتی ابزارهای امنیتی وجود نداشتهاند. ده درصد قربانیان نیز مجدداً آلوده شدهاند. احتمالاً در این موارد مدیران سیستمها، تنها بدافزار را پاک کردهاند و به علت ریشهای آلودگی توجه نکردهاند. نحوه عملکرد در ابتدای حمله، بدافزار سعی میکند به روش آزمون جامع وارد SQL Server شود. پس از ورود موفق، تغییراتی در پیکربندی پایگاه داده انجام میشود تا امکان اجرا دستورات در ادامه فراهم شود. برای مثال دستور xp_cmdshell در پایگاه داده فعال میشود که به کمک آن میتوان دستورات شل را اجرا کرد. سپس چند حساب کاربری در پشتی، هم در قالب MS-SQL و هم در قالب سیستمعامل، ساخته میشوند. در ادامه کدهای دانلودکننده بدافزار اجرا میشوند. دو پلتفرم مختلف روی سرورهای CNC مهاجمان وجود داشته است که قابلیتهایی مثل دانلود فایل، نصب سرویسهای ویندوزی جدید، ثبت کلیدها (key logging)، عکس گرفتن از صفحه نمایش، اجرای شل تعاملی، راهاندازی حمله DDoS و… را فراهم میکردند. پیشگیری، شناسایی و مقابله
https://github.com/guardicore/labs_campaigns/tree/master/Vollgar منبع: https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack |