Resumen: Los servidores Microsoft SQL (MS SQL) están siendo el objetivo de los actores de amenazas, como parte de una nueva campaña para desplegar la herramienta de simulación de adversarios Cobalt Strike en los hosts comprometidos.
Microsoft SQL Server es un sistema de gestión de bases de datos relacionales que presta su servicio a una amplia variedad de aplicaciones de procesamiento de transacciones, inteligencia empresarial y análisis en entornos informáticos corporativos.
Recientemente, los investigadores del Centro de Respuesta a Emergencias de Seguridad de AhnLab Security (ASEC) han informado haber visto múltiples ataques que instalan balizas Cobalt Strike en servidores Microsoft SQL vulnerables, lo que conduce a una infiltración de información y a infecciones de malware posteriores.
Cobalt Strike es un software de pruebas de penetración, utilizado para emular las acciones posteriores a la explotación de los actores de amenazas. No obstante, en los últimos años se ha convertido en una herramienta ampliamente utilizada por los atacantes, para encontrar debilidades en las redes de las empresas y entregar cargas útiles secundarias.
De acuerdo con los investigadores, para llevar a cabo su acometido, los atacantes comienzan por buscar servidores MS-SQL disponibles públicamente, a través del puerto TCP 1433 abierto.
Posteriormente, los atacantes ejecutan ataques de fuerza bruta y de diccionario para descifrar las contraseñas. Una vez hecho esto, los atacantes obtienen acceso a la cuenta de administrador e inician sesión en el servidor. Es preciso destacar que en este punto, inclusive cuando el servidor no es accesible, los atacantes utilizan un malware como LemonDuck para realizar el movimiento lateral dentro de la red interna.
Más adelante, los actores de amenazas descargan Cobalt Strike mediante un proceso de comandos shell (cmd.exe y powershell.exe) en el servidor comprometido que se inyecta y ejecuta en MSBuild.exe para evadir su detección.
Finalmente, tras la ejecución de Cobalt Strike, se inyecta una baliza en el proceso legítimo de Windows wwanmm.dll, que recibe los comandos del atacante y lleva a cabo el comportamiento malicioso mientras permanece oculta, eludiendo fácilmente la detección basada en la memoria.
Para proteger los servidores MS-SQL de ataques de este tipo, se le recomienda a los usuarios utilizar contraseñas seguras y cambiarlas periódicamente, colocar sus servidores detrás de un firewall y estar al pendiente de acciones sospechosas, además de aplicar las actualizaciones de seguridad correspondientes. Recomendaciones: Mantener contraseñas seguras: · Su contraseña debe ser larga. · Debe incluir números, símbolos, letras mayúsculas y minúsculas. · Evite utilizar información personal obvia como contraseña · No reutilice sus contraseñas. · Cambie constantemente sus contraseñas.
Referencias: https://thehackernews.com/2022/02/hackers-backdoor-unpatched-microsoft.html
|
SÍGUENOS