-
06/07/2013
-
797
-
1.308 bài viết
Microsoft cảnh báo các vụ tấn công brute force vào SQL Server dùng PowerShell Wrapper
Microsoft đã cảnh báo các tổ chức về một làn sóng tấn công brute force mới nhắm vào các SQL server và sử dụng LOLBin (living-off-the-land binary).
Cụ thể, những kẻ tấn công lợi dụng một tiện ích hợp pháp được gọi là sqlps.exe để duy trì sự tồn tại lâu dài trên các máy chủ SQL sử dụng mật khẩu yếu hoặc mặc định.
Theo Microsoft, sqlps.exe, một trình PowerShell wrapper hỗ trợ thực thi SQL Server PowerShell cmdlet, cho phép những kẻ tấn công chạy các lệnh recon và sửa đổi chế độ khởi động của SQL service thành LocalSystem.
Việc sử dụng một công cụ hợp pháp cũng cho phép những kẻ tấn công ẩn hoạt động độc hại của chúng khỏi các công cụ phát hiện đồng thời cản trở việc phân tích điều tra số.
Trong các cuộc tấn công được phát hiện, sqlps.exe cũng được sử dụng để tạo tài khoản mới với đặc quyền sysadmin, sau đó được sử dụng để quản lý máy chủ SQL bị xâm phạm.
Microsoft cho biết: “Sau đó, kẻ tấn công sẽ có được khả năng thực hiện các hành vi độc hại khác, bao gồm cả việc triển khai các tải trọng như các công cụ đào tiền ảo (coin miner)".
Microsoft cũng chỉ ra rằng việc sử dụng LOLBin không phổ biến này cho thấy việc theo dõi thời gian chạy của tất cả các script có thể giúp nhận diện mã độc.
Các tổ chức có thể giảm thiểu rủi ro liên quan đến các cuộc tấn công brute force bằng cách sử dụng thông tin đăng nhập mạnh và duy nhất, giám sát tên người dùng và mật khẩu bị xâm phạm, cho phép ghi nhật ký, giám sát để phát hiện hoạt động đáng ngờ, triển khai các chính sách truy cập chặt chẽ, sử dụng các công cụ phát hiện tấn công và cập nhật các bản vá phần mềm.
Cụ thể, những kẻ tấn công lợi dụng một tiện ích hợp pháp được gọi là sqlps.exe để duy trì sự tồn tại lâu dài trên các máy chủ SQL sử dụng mật khẩu yếu hoặc mặc định.
Theo Microsoft, sqlps.exe, một trình PowerShell wrapper hỗ trợ thực thi SQL Server PowerShell cmdlet, cho phép những kẻ tấn công chạy các lệnh recon và sửa đổi chế độ khởi động của SQL service thành LocalSystem.
Việc sử dụng một công cụ hợp pháp cũng cho phép những kẻ tấn công ẩn hoạt động độc hại của chúng khỏi các công cụ phát hiện đồng thời cản trở việc phân tích điều tra số.
Trong các cuộc tấn công được phát hiện, sqlps.exe cũng được sử dụng để tạo tài khoản mới với đặc quyền sysadmin, sau đó được sử dụng để quản lý máy chủ SQL bị xâm phạm.
Microsoft cho biết: “Sau đó, kẻ tấn công sẽ có được khả năng thực hiện các hành vi độc hại khác, bao gồm cả việc triển khai các tải trọng như các công cụ đào tiền ảo (coin miner)".
Microsoft cũng chỉ ra rằng việc sử dụng LOLBin không phổ biến này cho thấy việc theo dõi thời gian chạy của tất cả các script có thể giúp nhận diện mã độc.
Các tổ chức có thể giảm thiểu rủi ro liên quan đến các cuộc tấn công brute force bằng cách sử dụng thông tin đăng nhập mạnh và duy nhất, giám sát tên người dùng và mật khẩu bị xâm phạm, cho phép ghi nhật ký, giám sát để phát hiện hoạt động đáng ngờ, triển khai các chính sách truy cập chặt chẽ, sử dụng các công cụ phát hiện tấn công và cập nhật các bản vá phần mềm.
Theo Securityweek
Chỉnh sửa lần cuối bởi người điều hành: