Phần lớn cuộc tấn công Job attack trên Microsoft SQL server nhắm vào Châu Á

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Phần lớn cuộc tấn công Job attack trên Microsoft SQL server nhắm vào Châu Á
Việt Nam là quốc gia chịu ảnh hưởng nhiều nhất.

SQL attack.jpeg

Microsoft SQL Server được các công ty trên thế giới sử dụng nhằm quản lý cơ sở dữ liệu. Với mức độ phổ biến như vậy, cùng với việc không có cơ chế bảo vệ đủ mạnh, Microsoft SQL Server trở thành mục tiêu của những kẻ tấn công với nhiều mục đích khác nhau.

Một trong những cuộc tấn công phổ biến nhất trên Microsoft SQL Server là tấn công dựa trên các Job độc hại. Dù đã xuất hiện được một thời gian, nhưng các kẻ tấn công vẫn tận dụng hình thức này để truy cập vào các máy trạm thông qua mật khẩu quản trị yếu.

Theo số liệu được thống kê, Việt Nam là nước có số lượng cuộc tấn công nhiều nhất, chiếm 16%. Tiếp theo đó là Nga với 12%, Ấn Độ là 7%, Thổ Nhĩ Kỳ và Brazil ở mức 5%.

Theo Kaspersky, các cuộc tấn công Microsoft SQL Server thường lớn và không có mục tiêu cụ thể. Các kẻ tấn công quét các mạng con (sub-network) để tìm kiếm các máy chủ có mật khẩu yếu.

Sau khi kiểm tra từ xa để xác định cài đặt SQL Server, kẻ tấn công sẽ brute force mật khẩu để truy cập vào hệ thống.

Bước tiếp theo là sửa cấu hình máy chủ để truy cập vào dòng lệnh, cho phép kẻ tấn công ngấm ngầm đưa phần mềm độc hại vào hệ thống đích thông qua các Job của SQL Server.

Job biểu thị một chuỗi các lệnh bởi SQL Server và có thể bao gồm nhiều hành động khác nhau, một số trong đó có thể bị tận dụng để thực thi mã hoặc các hoạt động độc hại khác.

Ví dụ, các kẻ tấn công có thể cài đặt Job có nhiệm vụ download mã độc bằng tiện ích ftp.exe tiêu chuẩn, tải phần mềm độc hại từ nguồn từ xa bằng JavaScript hoặc viết và thực thi phần mềm độc hại trên hệ thống.

Phân tích về các payload của các cuộc tấn công vào MS SQL Server thông qua Job độc hại cho thấy hầu hết là các mã độc đào tiền ảo hoặc backdoor truy cập từ xa. Một số payload khác có nhiệm vụ lấy mật khẩu hoặc leo thang đặc quyền.

Để an toàn, quản trị viên nên cân nhắc việc sử dụng mật khẩu mạnh cho các tài khoản SQL Server. Kiểm tra Agent SQL Server cho các Job của bên thứ ba cũng có thể giúp phát hiện các xâm nhập có thể xảy ra.

Theo Securityweek
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Bên trên