Güvenlik araştırmacıları, kötü korunan Microsoft SQL Sunucularına Kobalt Saldırısı işaretleri yükleyen yeni bir kampanya belirlediler.
Çok sayıda MS-SQL Server örneği, zayıf parolalar taşıyarak internete maruz kalıyor, birçok tehdit aktörünün nasıl kötüye kullanılacağını bildiği bir şey – ve Ahn Lab’ın ASEC’sinden siber güvenlik araştırmacıları şimdi tam da bunu yapan birini buldu.
İlk olarak, açık bir TCP bağlantı noktası 1433 ile uç noktalar için interneti tararlar. Ardından, bu sunuculara karşı kaba kuvvet saldırıları yürütürler ve biri sabit kalana kadar sonsuz sayıda şifreyi denerler. Araştırmacılar, saldırının çalışması için şifrenin nispeten kolay tahmin edilmesi gerektiğini ekledi.
Yasal yazılımı kötüye kullanma
Saldırganlar içeri girdikten sonra, ne yükledikleri sadece bir tercih meselesidir. Bazen LemonDuck, KingMiner veya Vollgar gibi kripto para madencileridir, ancak çoğu zaman Cobalt Strike’dır.
Kobalt Strike, genellikle tehdit aktörleri tarafından kötü amaçlarla kötüye kullanılan ücretli bir sızma testi ürünüdür. Hedef ağ boyunca kalıcılık ve yanal hareket sağlar. Tehdit aktörleri bunu komutları yürütmek, anahtarları kaydetmek, ayrıcalıkları yükseltmek, bağlantı noktalarını taramak ve kimlik bilgilerini çalmak için kullanabilir. Dahası, dosyasız kabuk kodu, örneğin antivirüs çözümleri tarafından tespit edilme olasılığını azaltır.
Araştırmacılar, “Saldırganın komutunu alan ve kötü niyetli davranışı gerçekleştiren işaret, şüpheli bir bellek alanında bulunmadığından ve bunun yerine normal wwanmm.dll modülünde çalıştığından, bellek tabanlı algılamayı atlayabilir” diye açıklıyor.
Saldırgan(lar)ın adı bir sır olarak kalsa da AhnLab, bu son saldırılarda kullanılan tüm indirme URL’lerinin yanı sıra C2 sunucu URL’lerinin aynı tehdit aktörüne işaret ettiğini söyledi.
Güvende kalmanın en iyi yolu, hem büyük hem de küçük harflerden, rakamlardan ve sembollerden oluşan bir dizi içeren güçlü bir parola tutmaktır. Rakamları (123, 789), anlamlı tarihleri (örneğin doğum günleri) veya sosyal mühendislikle elde edilebilecek isimleri (sokak isimleri, önemli kişilerin isimleri, çocuklar, evcil hayvanlar vb.) kullanmaktan kaçının.
Güçlü parolalar bir yana, kullanıcılara sunucuyu bir güvenlik duvarının arkasında tutmaları, her şeyi kaydetmeleri ve şüpheli eylemlere karşı her iki gözü de uzak tutmaları önerilir. Ayrıca tüm yazılımların sık sık güncellendiğinden emin olmalıdırlar.
Üzerinden: BleeBilgisayar
