الأخبار التكنولوجية والاستعراضات والنصائح!

تحذير: يقوم المتسللون بتثبيت باب خلفي سري على الآلاف من خوادم Microsoft SQL

كشف باحثو الأمن السيبراني اليوم عن حملة ضارة مستمرة تعود إلى مايو 2018 تستهدف Windows الأجهزة التي تقوم بتشغيل خوادم MS-SQL لنشر الأبواب الخلفية وأنواع أخرى من البرامج الضارة ، بما في ذلك أدوات الوصول عن بعد متعددة الوظائف (RATs) ومُشفِّرات التشفير.

مسمى "Vollgar"بعد عملة Vollar المشفرة التي تنجم عنها وطريقة عملها" المبتذلة "الهجومية ، قال الباحثون في Guardicore Labs إن الهجوم يستخدم قوة غاشمة لكلمة المرور لخرق خوادم Microsoft SQL ذات بيانات الاعتماد الضعيفة المعرضة للإنترنت.

يدعي الباحثون أن المهاجمين تمكنوا من إصابة ما يقرب من 2000-3000 خادم قاعدة بيانات بنجاح على مدار الأسابيع القليلة الماضية ، مع الضحايا المحتملين الذين ينتمون إلى قطاعات الرعاية الصحية والطيران وتكنولوجيا المعلومات والاتصالات والتعليم العالي في جميع أنحاء الصين والهند والولايات المتحدة وكوريا الجنوبية و تركيا.Windows  اختراق البرمجيات الخبيثة

ولحسن الحظ للمهتمين ، أصدر الباحثون أيضًا نصًا برمجيًا للسماح لمسؤول النظام بالكشف عما إذا كان أيًا منهم Windows تم اختراق خوادم MS-SQL مع هذا التهديد بالذات.

سلسلة هجوم Vollgar: MS-SQL لنظام البرامج الضارة

يبدأ هجوم Vollgar بمحاولات تسجيل الدخول الوحشي على خوادم MS-SQL ، والتي ، عند نجاحها ، تسمح للمتداخل بتنفيذ عدد من تغييرات التكوين لتشغيل أوامر MS-SQL الضارة وتنزيل ثنائيات البرامج الضارة.

"يتحقق المهاجمون (أيضًا) من توفر بعض فئات COM – WbemScripting.SWbemLocator و Microsoft.Jet.OLEDB.4.0 و Windows نموذج كائن مضيف البرنامج النصي (wshom). وقال الباحثون إن هذه الفئات تدعم كلاً من البرمجة النصية WMI وتنفيذ الأوامر من خلال MS-SQL ، والتي سيتم استخدامها فيما بعد لتنزيل البرنامج الثنائي الأولي للبرامج الضارة.

Windows  اختراق البرمجيات الخبيثة

بصرف النظر عن التأكد من أن الملفات التنفيذية cmd.exe و ftp.exe لديها أذونات التنفيذ اللازمة ، فإن المشغل وراء Vollgar يقوم أيضًا بإنشاء مستخدمين مستقلين جدد لقاعدة بيانات MS-SQL وكذلك على نظام التشغيل بامتيازات عالية.

عند الانتهاء من الإعداد الأولي ، يستمر الهجوم في إنشاء برامج نصية للتنزيل (اثنان من VBScripts ونص FTP واحد) ، والتي يتم تنفيذها "بضع مرات" ، في كل مرة باستخدام موقع هدف مختلف على نظام الملفات المحلي لتجنب الفشل المحتمل.

إحدى الحمولات الأولية ، المسماة SQLAGENTIDC.exe أو SQLAGENTVDC.exe ، تمضي أولاً في القضاء على قائمة طويلة من العمليات بهدف تأمين الحد الأقصى من موارد النظام بالإضافة إلى القضاء على نشاط الجهات الفاعلة الأخرى المهددة وإزالة وجودها من آلة مصابة.

علاوة على ذلك ، يعمل بمثابة قطارة لمختلف RATs وعمال تعدين قائم على XMRig يقوم بالتعدين Monero وعملة بديلة تسمى VDS أو Vollar.

البنية التحتية للهجوم المستضافة على الأنظمة المعرضة للخطر

وقالت جوارديكور إن المهاجمين احتفظوا ببنيتهم ​​التحتية بالكامل على أجهزة مخترقة ، بما في ذلك خادم القيادة والتحكم الأساسي الموجود في الصين ، والذي ، من المفارقات ، أنه تم اختراقه من قبل أكثر من مجموعة هجوم.

ولاحظت شركة الأمن السيبراني أن "من بين الملفات (على خادم C&C) كانت أداة هجوم MS-SQL ، المسؤولة عن فحص نطاقات IP ، وإجبار قاعدة البيانات المستهدفة ، وتنفيذ الأوامر عن بُعد".

"بالإضافة إلى ذلك ، وجدنا برنامجين CNC باستخدام واجهة المستخدم الرسومية باللغة الصينية ، وأداة لتعديل قيم تجزئة الملفات ، وخادم ملفات HTTP محمول (HFS) ، وخادم FTP-Serv ونسخة من ملف mstsc.exe القابل للتنفيذ (خدمات Microsoft الطرفية) العميل) يستخدم للتواصل مع الضحايا عبر RDP ".

Windows  اختراق البرمجيات الخبيثة

بمجرد الإصابة Windows يختبر العميل خادم C2 ، ويتلقى الأخير أيضًا مجموعة متنوعة من التفاصيل حول الجهاز ، مثل IP العام والموقع وإصدار نظام التشغيل واسم الكمبيوتر وطراز وحدة المعالجة المركزية.

مشيراً إلى أن البرنامجين C2 المثبتين على الخادم في الصين تم تطويرهما من قبل بائعين مختلفين ، قال Guardicore أن هناك أوجه تشابه في قدرات التحكم عن بعد الخاصة بهم – أي تنزيل الملفات ، تثبيت جديد Windows الخدمات ، وتسجيل المفاتيح ، والتقاط الشاشة ، وتفعيل الكاميرا والميكروفون ، وحتى بدء هجوم رفض الخدمة الموزعة (DDoS).

استخدم كلمات مرور قوية لتجنب هجمات القوة الغاشمة

مع وجود حوالي نصف مليون آلة تشغل خدمة قاعدة بيانات MS-SQL ، فإن الحملة هي إشارة أخرى على أن المهاجمين يسعون وراء خوادم قواعد البيانات المحمية بشكل سيئ في محاولة لسحب المعلومات الحساسة. من الضروري أن يتم تأمين خوادم MS-SQL المعرضة للإنترنت ببيانات اعتماد قوية.

وخلص باحثو جوارديكور إلى أن "ما يجعل خوادم قواعد البيانات هذه جذابة للمهاجمين بصرف النظر عن قوة وحدة المعالجة المركزية الخاصة بهم هو الكمية الهائلة من البيانات التي يمتلكونها". "ربما تقوم هذه الأجهزة بتخزين المعلومات الشخصية مثل أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان وما إلى ذلك ، والتي يمكن أن تقع في أيدي المهاجم باستخدام قوة وحشية بسيطة فقط."