-
09/04/2020
-
93
-
602 bài viết
Hacker tấn công máy chủ Microsoft SQL bằng Cobalt Strike
Các máy chủ Microsoft SQL (MS SQL) đang là mục tiêu của chiến dịch mới nhằm triển khai công cụ mô phỏng Cobalt Strike.
Công ty an ninh mạng AhnLab của Hàn Quốc (ASEC) cho biết cuộc tấn công nhằm vào các máy chủ MS SQL có các lỗ hổng chưa được vá, tấn công brute force và dictionary attack vào các máy chủ được quản lý kém.
Cobalt Strike là 1 framework về kiểm thử thâm nhập, cho phép hacker triển khai “Beacon” trên máy nạn nhân và có thể truy cập từ xa vào hệ thống. Mặc dù được quảng cáo là một nền tảng mô phỏng mối đe dọa (threat simulation) dành cho Red team, các phiên bản bẻ khóa của phần mềm đã được sử dụng như một công cụ khai thác bởi nhiều nhóm hacker.
Các cuộc tấn công xâm nhập được ASEC quan sát thấy hành vi quét cổng 1433 để kiểm tra các máy chủ MS SQL, từ đây thực hiện các cuộc tấn công brute force hoặc dictionary attack đối với tài khoản quản trị viên hệ thống ("sa") để cố gắng đăng nhập.
Sau khi đã xâm nhập thành công, giai đoạn tấn công tiếp theo là tạo ra một Windows command shell thông qua MS SQL "sqlservr.exe" để tải xuống payload chứa mã nhị phân Cobalt Strike được mã hóa vào hệ thống.
Giai đoạn cuối cùng là giải mã tệp thi hành Cobalt Strike, đưa nó vào process Microsoft Build Engine (MSBuild), vốn bị hacker khai thác trước đó để tải về các Trojan truy cập từ xa và phần mềm độc hại đánh cắp mật khẩu trên Windows.
Hơn nữa, Cobalt Strike được thực thi trong MSBuild.exe đi cùng với các cấu hình bổ sung để tránh bị phần mềm an ninh phát hiện, bằng cách tải "wwanmm.dll," một thư viện Windows cho WWan Media Manager, sau đó viết và chạy Beacon trong vùng bộ nhớ của DLL.
Các nhà nghiên cứu lưu ý: "Vì dấu hiệu của kẻ tấn công để thực hiện hành vi khai thác không tồn tại trong vùng bộ nhớ đáng ngờ và thay vào đó hoạt động trong mô-đun bình thường wwanmm.dll, nên có thể vượt qua các phần mềm an ninh dựa trên phát hiện thông qua bộ nhớ".
Công ty an ninh mạng AhnLab của Hàn Quốc (ASEC) cho biết cuộc tấn công nhằm vào các máy chủ MS SQL có các lỗ hổng chưa được vá, tấn công brute force và dictionary attack vào các máy chủ được quản lý kém.
Cobalt Strike là 1 framework về kiểm thử thâm nhập, cho phép hacker triển khai “Beacon” trên máy nạn nhân và có thể truy cập từ xa vào hệ thống. Mặc dù được quảng cáo là một nền tảng mô phỏng mối đe dọa (threat simulation) dành cho Red team, các phiên bản bẻ khóa của phần mềm đã được sử dụng như một công cụ khai thác bởi nhiều nhóm hacker.
Các cuộc tấn công xâm nhập được ASEC quan sát thấy hành vi quét cổng 1433 để kiểm tra các máy chủ MS SQL, từ đây thực hiện các cuộc tấn công brute force hoặc dictionary attack đối với tài khoản quản trị viên hệ thống ("sa") để cố gắng đăng nhập.
Sau khi đã xâm nhập thành công, giai đoạn tấn công tiếp theo là tạo ra một Windows command shell thông qua MS SQL "sqlservr.exe" để tải xuống payload chứa mã nhị phân Cobalt Strike được mã hóa vào hệ thống.
Giai đoạn cuối cùng là giải mã tệp thi hành Cobalt Strike, đưa nó vào process Microsoft Build Engine (MSBuild), vốn bị hacker khai thác trước đó để tải về các Trojan truy cập từ xa và phần mềm độc hại đánh cắp mật khẩu trên Windows.
Hơn nữa, Cobalt Strike được thực thi trong MSBuild.exe đi cùng với các cấu hình bổ sung để tránh bị phần mềm an ninh phát hiện, bằng cách tải "wwanmm.dll," một thư viện Windows cho WWan Media Manager, sau đó viết và chạy Beacon trong vùng bộ nhớ của DLL.
Các nhà nghiên cứu lưu ý: "Vì dấu hiệu của kẻ tấn công để thực hiện hành vi khai thác không tồn tại trong vùng bộ nhớ đáng ngờ và thay vào đó hoạt động trong mô-đun bình thường wwanmm.dll, nên có thể vượt qua các phần mềm an ninh dựa trên phát hiện thông qua bộ nhớ".
Theo Thehackernews