Bilinmeyen tehdit aktörleri, güvenliği zayıf, internete açık Microsoft SQL Server veritabanlarına girmeye çalışmak için kaba kuvvet saldırıları kullanıyor.
Redmond yazılım devi, zayıf parolalara sahip veritabanlarının nasıl ele geçirilebileceğini açıklayan bir uyarı yayınladı:
Microsoft Security Intelligence ekibi, “Saldırganlar, SQL tarafından oluşturulmuş cmdlet’leri çalıştırmak, keşif komutlarını çalıştırmak ve SQL hizmetinin başlangıç modunu LocalSystem olarak değiştirmek için bir PowerShell sarmalayıcısı olan sqlps.exe yardımcı programını oluşturarak dosyasız kalıcılık elde ediyor” açıklığa kavuşmuş.
Hedeflenen sunucular
Başka bir deyişle, saldırganlar kötü amaçlı yazılım değil meşru bir program olan sqlps.exe aracını Living Off The Land Binary (LOLBin) olarak kullanıyor.
“Saldırganlar ayrıca sysadmin rolüne ekledikleri yeni bir hesap oluşturmak için sqlps.exe’yi kullanarak SQL sunucusunun tam kontrolünü ele geçirmelerini sağlar. Ardından, madeni para madencileri gibi yükleri dağıtmak da dahil olmak üzere diğer eylemleri gerçekleştirme yeteneği kazanırlar.”
Sqlps, Microsoft SQL Server ile birlikte gelen ve kullanıcıların SQL Server cmdlet’lerini yüklemesine izin veren bir araçtır. Bipleyen Bilgisayar Saldırganların aracı bir LOLBin olarak kullanarak, antivirüs programları veya benzeri siber güvenlik çözümleri tarafından algılanmadan PowerShell komutlarını çalıştırabileceğini iddia ediyor.
Ayrıca araç, Script Block Logging’i atladığı için neredeyse hiç iz bırakmaz.
Sistem yöneticileri, binalarını bu tür saldırılara karşı korumak için, her şeyden önce – onları internete maruz bırakmayarak – birçok şey yapabilir. Veritabanının çevrimiçi olması gerekiyorsa, ikinci en iyi çözüm, tahmin edilemeyen veya kaba kuvvetle zorlanan güçlü bir paroladır. Bu, hem büyük hem de küçük harf olmak üzere en az sekiz karakterin yanı sıra sayılar ve simgelerden oluşan bir parolaya sahip olmak anlamına gelir.
Ayrıca, yöneticilerin sunucuyu bir güvenlik duvarının arkasına yerleştirmeleri önerilir.
Son olarak, günlüğe kaydetmeyi etkinleştirebilir ve şüpheli veya beklenmeyen etkinliklere veya yinelenen oturum açma girişimlerine karşı göz kulak olabilirler.
Aracılığıyla: BleeBilgisayar
