تحلیل‌گران تهدید موج جدیدی از حملات نصب Beacon های Cobalt Strike بر روی سرورهای آسیب‌پذیر مایکروسافت SQL را مشاهده کرده‌اند که منجر به نفوذ عمیق‌تر و متعاقب آن آلودگی به بدافزارها می‌شود.

MS-SQL Server یک سیستم مدیریت پایگاه داده محبوب است که از برنامه‌های بزرگ اینترنتی تا applet های کوچک تک سیستمی را تغذیه می‌کند.

ولی از آنجایی که بسیاری از این استقرارها با رمزهای عبور ضعیف به طور عمومی در اینترنت قرار می‌گیرند و طبق گزارش تیم ASEC از شرکت AhnLab، یک عامل تهدید ناشناخته از این مزیت استفاده می‌کند، به اندازه کافی ایمن نیستند.

هدف قرار دادن MS-SQL با Cobalt Strike

مهاجمان حملات را با اسکن سرورهایی با پورت TCP باز 1433 آغاز می‌کنند که احتمالا سرورهای MS-SQL عمومی هستند. سپس مهاجم حملات brute-forcing و دیکشنری را برای شکستن رمز عبور انجام می‌دهد. برای اینکه حمله با هرکدام از این دو روش کار کند، رمز عبور هدف باید ضعیف باشد.

محققان ASEC مشاهده کرده‌اند که مهاجمان بعد از دسترسی به حساب مدیریت و ورود به سرور، استخراج کنندگان سکه مانند Lemon Duck، KingMiner و Vollgar را حذف کرده‌اند. علاوه بر این، مهاجمان سرور را با Cobalt Strike پشتیبانی می‌کنند تا پایداری و حرکت جانبی را انجام دهند.

Cobalt Strike از طریق یک فرآیند command shell (cmd.exe and powershell.exe) بر روی MS-SQL مورد نفوذ دانلود می‌شود و برای فرار از شناسایی در MSBuild.exe تزریق و اجرا می‌شود.

پس از اجرا، یک beacon به فرآیند قانونی ویندوز wwanmm.dll تزریق می‌شود و منتظر دستورات مهاجم می‌ماند در حالی که در فایل کتابخانه سیستم مخفی می‌ماند.

گروه ASEC در گزارش توضیح می‌دهد: «از آنجایی که beacon که فرمان مهاجم را دریافت می‌کند و رفتار مخرب را انجام می‌دهد در یک ناحیه حافظه مشکوک وجود ندارد و در عوض در ماژول معمولی wwanmm.dll عمل می‌کند، می‌تواند تشخیص مبتنی بر حافظه را دور بزند.»

Cobalt Strike یک ابزار تجاری تست نفوذ (امنیت تهاجمی) است که به طور گسترده توسط مجرمان سایبری مورد سوء استفاده قرار می‌گیرد که ویژگی‌های قدرتمند آن را برای عملیات مخرب خود مفید می‌دانند.

این ابزار که هر مجوز آن 3500 دلار قیمت دارد، قرار بود به هکرهای اخلاقی و تیم‌های قرمز در شبیه‌سازی حملات واقعی علیه سازمان‌هایی بود که می‌خواهند موضع امنیتی خود را تقویت کنند، کمک کند اما از لحظه‌ای که نسخه‌های کرک شده لو رفت، استفاده از آن توسط عوامل تهدید از کنترل خارج شد.

در حال حاضر این ابزار توسط Squirrelwaffle، Emotet، اپراتورهای بدافزار، حملات فرصت طلب، گروه‌های هدف لینوکس، دشمنان پیچیده و معمولاً توسط باج افزارهای باج افزار هنگام انجام حملات استفاده می‌شود.

دلیل اینکه عاملان تهدید تا این حد از آن سوء استفاده می کنند، عملکرد غنی آن است که شامل موارد زیر است:

• اجرای دستور

• Keylogging

• عملیات فایل

• پروکسی SOCKS

• ارتقاء امتیازات

• Mimikatz (سرقت مدارک)

• اسکن پورت

علاوه بر این، عامل Cobalt Strike به نام "beacon" یک کد شل بدون فایل است، بنابراین شانس شناسایی آن توسط ابزارهای امنیتی کاهش می‌یابد، به خصوص در سیستم‌هایی که مدیریت ضعیفی دارند.

داده های AhnLab نشان می‌دهد که همه URL های دانلود و URL های سرور C2 که از موج حمله اخیر پشتیبانی می‌کنند به یک مهاجم یکسان اشاره می کنند.

برای محافظت از سرور MS-SQL خود در برابر حملاتی از این نوع، از یک رمز عبور قوی برای مدیر سیستم استفاده کنید، سرور را پشت فایروال قرار دهید، همه چیز را ثبت کنید و اقدامات مشکوک را نظارت کنید، به روز رسانی های امنیتی موجود را اعمال کنید، و از یک کنترل کننده دسترسی به داده ها برای بازرسی و اجرای سیاست ها در هر تراکنش استفاده کنید.

منبع: Bleeping Computer