Los servidores vulnerables de Microsoft SQL (MS SQL) orientados a Internet est\u00e1n siendo atacados por actores de amenazas como parte de una nueva campa\u00f1a para implementar la herramienta de simulaci\u00f3n de adversarios Cobalt Strike en hosts comprometidos.<\/p>\n
“Los ataques dirigidos a servidores MS SQL incluyen ataques al entorno donde su vulnerabilidad no ha sido reparada, fuerza bruta y Ataque de diccionario<\/a> contra servidores mal gestionados”, la empresa de ciberseguridad de Corea del Sur AhnLab Security Emergency Response Center (ASEC) dijo<\/a> en un informe publicado el lunes.<\/p>\n Cobalt Strike es un comercial, con todas las funciones marco de pruebas de penetraci\u00f3n<\/a> que permite a un atacante implementar un agente llamado “Beacon” en la m\u00e1quina de la v\u00edctima, otorgando al operador acceso remoto al sistema. Aunque se anuncia como una plataforma de simulaci\u00f3n de amenazas del equipo rojo, una amplia gama de actores de amenazas ha utilizado activamente versiones descifradas del software.<\/p>\n Las intrusiones observadas por ASEC involucran al actor no identificado que escanea el puerto 1433 para verificar si los servidores MS SQL expuestos realizan ataques de fuerza bruta o de diccionario contra la cuenta del administrador del sistema, es decir, cuenta “sa”<\/a>para intentar iniciar sesi\u00f3n.<\/p>\n Eso no quiere decir que los servidores a los que no se puede acceder a trav\u00e9s de Internet no sean vulnerables, ya que el actor de amenazas detr\u00e1s del malware LemonDuck escanea el mismo puerto para moverse lateralmente a trav\u00e9s de la red.<\/p>\n “Administrar las credenciales de la cuenta de administrador para que sean vulnerables a la fuerza bruta y los ataques de diccionario como se indic\u00f3 anteriormente o no cambiar las credenciales peri\u00f3dicamente puede hacer que el servidor MS-SQL sea el objetivo principal de los atacantes”, dijeron los investigadores.<\/p>\n Al obtener un punto de apoyo con \u00e9xito, la siguiente fase del ataque funciona al generar un shell de comandos de Windows a trav\u00e9s de MS SQL “sqlservr.exe<\/a>” para descargar la carga \u00fatil de la siguiente etapa que alberga el binario Cobalt Strike codificado en el sistema.<\/p>\n Los ataques finalmente culminan con la decodificaci\u00f3n del malware del ejecutable Cobalt Strike, seguido de su inyecci\u00f3n en el Microsoft Build Engine leg\u00edtimo (MSBuild<\/a>), que ha sido abusado previamente por actores maliciosos para entregar troyanos de acceso remoto y malware para robar contrase\u00f1as sin archivos en sistemas Windows espec\u00edficos.<\/p>\n Adem\u00e1s, el Cobalt Strike que se ejecuta en MSBuild.exe viene con configuraciones adicionales para evadir la detecci\u00f3n del software de seguridad. Lo logra cargando “wwanmm.dll”, una biblioteca de Windows para WWan Media Manager, luego escribiendo y ejecutando Beacon en el \u00e1rea de memoria de la DLL.<\/p>\n “Como la baliza que recibe el comando del atacante y realiza el comportamiento malicioso no existe en un \u00e1rea de memoria sospechosa y, en cambio, opera en el m\u00f3dulo normal wwanmm.dll, puede eludir la detecci\u00f3n basada en la memoria”, se\u00f1alaron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n![\"Servidores](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645857023_31_Servidores-de-base-de-datos-Microsoft-SQL-sin-parches-de.jpeg\" "\\"Servidores")
<\/div>\n<\/a><\/div>\n