باتنت KingMiner سرورهای MS-SQL را آلوده میکند
شرکت امنیتی سوفوس به صاحبان پایگاه دادههای SQL Server (MS-SQL) توصیه میکند سرور خود را امن کنند.
باتنت KingMiner سرورهای MS-SQL را آلوده میکندشرکت امنیتی سوفوس به صاحبان پایگاه دادههای SQL Server (MS-SQL) توصیه میکند سرور خود را امن کنند. این شرکت از فعالیتهای جدید باتنتی به نام KingMiner خبر میدهد که با حمله آزمون جامع (brute force) روی اکانتهای sa سعی در نفوذ به MS-SQL را دارد.
|
 |
|
هکرها پس از نفوذ به پایگاه داده، یک اکانت به نام dbhelp ایجاد میکنند و روی سرور یک ارزکاو نصب میکنند که از منابع سرور برای استخراج رمزارز مونرو (Monero) استفاده میکند. این باتنت از اواخر سال 2018 فعال بوده است، زمانی که شرکت امنیتی Check Point آن را گزارش کرد. در سال 2019 نیز شرکت Qihoo 360 در گزارشی به آن پرداخته بود. ویژگیهای جدید باتنت اکنون کد این باتنت پیشرفتهتر شده است. برای مثال، بدافزار میتواند به ویندوز سروری که پایگاه داده روی آن نصب شده دسترسی ادمین پیدا کند. این کار با بهرهگیری از آسیبپذیریهای ارتقاء دسترسی مثل CVE-2017-0213 و CVE-2019-0803 انجام میشود و هدف آن، مقابله با راهکارهای امنیتی و باتنتهای دیگری است که ممکن است روی سیستم نصب شده باشند. به نظر میرسد گردانندگان KingMiner در حال گسترش دسترسی از سرور پایگاه داده به سیستمهای دیگری هستند که پایگاه داده به آنها متصل است. چنین اقدامی در بین باتنتهای ارزکاو بیسابقه نیست، اما KingMiner در مراحل اولیه پیادهسازی این ویژگی است. KingMiner از روشهای مختلفی برای گسترش دسترسی خود استفاده میکند که یکی از آنها کد بهرهبرداری EternalBlue است که در حملات NotPetya و WannaCry به کار رفته بود. روش دیگر KingMiner برای افزایش دسترسی، دانلود کردن ابزارها و بدافزارهای دیگر روی سرور MS-SQL است. این ابزار/بدافزارها شامل Mimikatz (جمعآوریکننده گذرواژه) و Gh0st (تروجان دسترسی از راه دور) هستند. احتمالاً هدف از این کار سرقت گذرواژههای سیستمهایی است که MS-SQL ممکن است به آنها متصل باشد. اما عجیبترین ویژگی مشاهدهشده در KingMiner این است که بدافزار، وجود آسیبپذیری BlueKeep را روی سیستم آلودهشده بررسی میکند که یک آسیبپذیری در پروتکل remote desktop است و در صورت وجود آسیبپذیری، بدافزار، دسترسی remote desktop به سیستم را غیرفعال میکند تا سایر بدافزارها نتوانند به آن حمله کنند. KingMiner نشان میدهد که با وجود فراز و فرودهای قیمت مونرو باتنتهای ارزکاو در کسب سود موفق بودهاند. این سودآوری باعث شده هکرها انگیزه سوءاستفاده از سیستمهای آسیبپذیر را داشته باشند، مخصوصاً پایگاه دادههای MS-SQL که جزء اهداف مورد علاقه باتنتهای ارزکاوی بودهاند. باتنتهای دیگری که به سیستمهای MS-SQL حمله کردهاند عبارتاند از Vollgar، Nansh0u، MyKings (Smominru) و MassMiner.
منبع: ZDNet |