Los servidores Microsoft SQL (MS SQL) mal administrados son el objetivo de una nueva campaña diseñada para propagar una categoría de malware llamada CLR SqlShell que, en última instancia, facilita el despliegue de mineros de criptomonedas y ransomware.
«Similar a web shell, que se puede instalar en servidores web, SqlShell es una variedad de malware que admite varias funciones después de instalarse en un servidor MS SQL, como ejecutar comandos de actores de amenazas y llevar a cabo todo tipo de comportamiento malicioso», AhnLab Centro de Respuesta a Emergencias de Seguridad (ASEC) dicho en un informe publicado la semana pasada.
Un procedimiento almacenado es una subrutina que contiene un conjunto de declaraciones de lenguaje de consulta estructurado (SQL) para usar en múltiples programas en un sistema de administración de bases de datos relacionales (RDBMS).
Procedimientos almacenados CLR (abreviatura de Common Language Runtime), disponibles en SQL Server 2005 y versiones posteriores, consulte procedimientos almacenados que están escritos en un lenguaje .NET como C# o Visual Basic.
El método de ataque descubierto por la firma de ciberseguridad de Corea del Sur implica el uso del procedimiento almacenado CLR para instalar el malware en servidores MS SQL usando el xp_cmdshell comando, que genera un shell de comandos de Windows y pasa una instrucción como entrada para la ejecución.
Algunas de las técnicas empleadas por los actores de amenazas, incluidas las asociadas con LimónPato, MisReyes (también conocido como DarkCloud o Smominru), y Vollgarse refieren a la explotación de servidores MS SQL expuestos a Internet a través de ataques de fuerza bruta y de diccionario para ejecutar comandos xp_cmdshell y procedimientos almacenados OLE y ejecutar malware.
El uso de procedimientos almacenados CLR es la última incorporación a esta lista, con atacantes que aprovechan las rutinas de SqlShell para descargar cargas útiles de próxima etapa como Metasploit y mineros de criptomonedas como MrbMiner, MyKings y LoveMiner.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Además, diferentes adversarios han utilizado SqlShells llamados SqlHelper, CLRSQL y CLR_module para aumentar los privilegios en servidores comprometidos y lanzar ransomware. software proxye incorporar capacidades para llevar a cabo esfuerzos de reconocimiento en redes específicas.
«SqlShell puede instalar malware adicional, como puertas traseras, mineros de monedas y software proxyo puede ejecutar comandos maliciosos recibidos de actores de amenazas de una manera similar a WebShell», dijo ASEC.