Kötü yönetilen Microsoft SQL (MS SQL) sunucuları, kötü amaçlı yazılım kategorisini yaymak için tasarlanmış yeni bir kampanyanın hedefidir. CLR SqlShell bu da nihayetinde kripto para madencilerinin ve fidye yazılımlarının konuşlandırılmasını kolaylaştırır.
AhnLab, “Web sunucularına yüklenebilen web kabuğuna benzer şekilde, SqlShell, bir MS SQL sunucusuna yüklendikten sonra tehdit aktörlerinden komut yürütme ve her türlü kötü niyetli davranışı gerçekleştirme gibi çeşitli özellikleri destekleyen bir kötü amaçlı yazılım türüdür.” Güvenlik Acil Müdahale Merkezi (ASEC) söz konusu geçen hafta yayınlanan bir raporda.
Saklı yordam, ilişkisel bir veritabanı yönetim sisteminde (RDBMS) birden çok programda kullanım için bir Yapılandırılmış Sorgu Dili (SQL) deyimleri kümesi içeren bir alt yordamdır.
CLR (ortak dil çalışma zamanının kısaltması) saklı yordamlar – SQL Server 2005 ve sonrasında mevcuttur – bkz. saklı yordamlar C# veya Visual Basic gibi bir .NET dilinde yazılmış.
Güney Koreli siber güvenlik firması tarafından keşfedilen saldırı yöntemi, CLR saklı yordamının kullanılmasını gerektiriyor. düzenlemek kullanan MS SQL sunucularındaki kötü amaçlı yazılım xp_cmdshell bir Windows komut kabuğu oluşturan ve yürütme için girdi olarak bir yönerge ileten komut.
ile ilişkili olanlar da dahil olmak üzere, tehdit aktörleri tarafından kullanılan bazı teknikler LimonÖrdek, MyKings (diğer adıyla DarkCloud veya Smominru) ve vollgarxp_cmdshell komutlarını ve OLE saklı yordamlarını çalıştırmak ve kötü amaçlı yazılım yürütmek için kaba kuvvet ve sözlük saldırıları yoluyla internete açık MS SQL sunucularının kötüye kullanılmasıyla ilgilidir.
Saldırganların Metasploit gibi sonraki aşama yüklerini ve MrbMiner, MyKings ve LoveMiner gibi kripto para madencilerini indirmek için SqlShell rutinlerinden yararlanmasıyla CLR saklı yordamlarının kullanımı bu listeye en son eklenen özelliktir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Dahası, SqlHelper, CLRSQL ve CLR_module adlı SqlShell’ler, güvenliği ihlal edilmiş sunucularda ayrıcalıkları artırmak ve fidye yazılımı başlatmak için farklı düşmanlar tarafından kullanılmıştır. proxy yazılımıve hedeflenen ağlarda keşif çabalarını yürütmek için yetenekler dahil edin.
“SqlShell, arka kapılar, madeni para madencileri gibi ek kötü amaçlı yazılımlar yükleyebilir ve proxy yazılımıveya tehdit aktörlerinden alınan kötü amaçlı komutları WebShell’e benzer bir şekilde yürütebilir” dedi.
