CLR SqlShell Malware cible les serveurs MS SQL pour l’extraction de crypto et les ransomwares


15 mai 2023Ravie LakshmananSécurité des données / Crypto-monnaie

Les serveurs Microsoft SQL (MS SQL) mal gérés sont la cible d’une nouvelle campagne conçue pour propager une catégorie de logiciels malveillants appelée CLR SQLShell qui facilite finalement le déploiement des mineurs de crypto-monnaie et des ransomwares.

« Similaire au Web Shell, qui peut être installé sur des serveurs Web, SqlShell est une souche de logiciels malveillants qui prend en charge diverses fonctionnalités après avoir été installée sur un serveur MS SQL, telles que l’exécution de commandes d’acteurs malveillants et l’exécution de toutes sortes de comportements malveillants », AhnLab Centre d’intervention d’urgence de sécurité (ASEC) a dit dans un rapport publié la semaine dernière.

Une procédure stockée est une sous-routine qui contient un ensemble d’instructions SQL (Structured Query Language) à utiliser dans plusieurs programmes dans un système de gestion de base de données relationnelle (RDBMS).

Procédures stockées CLR (abréviation de Common Language Runtime) – disponibles dans SQL Server 2005 et versions ultérieures – reportez-vous à procédures stockées qui sont écrits dans un langage .NET tel que C# ou Visual Basic.

La cyber-sécurité

La méthode d’attaque découverte par la société sud-coréenne de cybersécurité consiste à utiliser la procédure stockée CLR pour installer le malware dans les serveurs MS SQL en utilisant le xp_cmdshell commande, qui génère un shell de commande Windows et transmet une instruction en entrée pour l’exécution.

Malware CLR SqlShell

Certaines des techniques employées par les auteurs de menaces, y compris celles associées à CitronCanard, MesRois (aka DarkCloud ou Smominru), et Vollgarconcernent l’exploitation de serveurs MS SQL exposés à Internet via des attaques par force brute et par dictionnaire pour exécuter des commandes xp_cmdshell et des procédures stockées OLE et exécuter des logiciels malveillants.

L’utilisation des procédures stockées CLR est le dernier ajout à cette liste, les attaquants tirant parti des routines SqlShell pour télécharger les charges utiles de la prochaine étape telles que Metasploit et les mineurs de crypto-monnaie comme MrbMiner, MyKings et LoveMiner.

WEBINAIRE À VENIR

Apprenez à arrêter les ransomwares avec une protection en temps réel

Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.

Sauvez ma place !

De plus, les SqlShells nommés SqlHelper, CLRSQL et CLR_module ont été utilisés par différents adversaires pour élever les privilèges sur les serveurs compromis et lancer des ransomwares, logiciel proxyet intégrer des capacités pour effectuer des efforts de reconnaissance dans des réseaux ciblés.

« SqlShell peut installer des logiciels malveillants supplémentaires tels que des portes dérobées, des mineurs de pièces et logiciel proxyou il peut exécuter des commandes malveillantes reçues d’acteurs malveillants d’une manière similaire à WebShell », a déclaré l’ASEC.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57