Posté le avril 2, 2020 à 19:49
DES HACKERS INSTALLENT DES PORTES DÉROBÉES SUR LES SERVEURS MICROSOFT SQL
Les chercheurs en sécurité ont découvert une campagne de cyber-attaque qui installe des portes dérobées sur les ordinateurs Windows équipés de MS-SQL. Les chercheurs ont également déclaré que d’autres logiciels malveillants étaient déployés, tels que des mineurs de cryptomonnaie et des outils d’accès à distance multifonctionnels (RAT).
Selon les chercheurs, les hackers sont opérationnels depuis mai 2018. Les chercheurs de Guardicore Labs ont révélé que l’attaque utilise la méthode force brute des mots de passe pour infiltrer les serveurs Microsoft SQL.
Les systèmes infectés hébergent des infrastructures d’attaque
Selon Guardicore, les auteurs de l’attaque ont hébergé toute leur infrastructure sur des systèmes contaminés, y compris son principal serveur de commande et de contrôle basé en Chine.
Il est intéressant de noter que les chercheurs ont découvert que le serveur a également été compromis par d’autres groupes d’attaque.
L’équipe de recherche a également découvert deux systèmes CNC avec une interface graphique en chinois, qui est utilisée pour modifier les valeurs de hachage des fichiers. En outre, il y avait un exécutable mstsc.exe, un serveur FTP Serv-U et un serveur de fichiers HTTP portable. Le mstsc.exe est utilisé par l’attaquant lorsqu’il connecte les victimes via RDP.
Lorsque le client Windows infecté communique avec le serveur C2, il obtient plusieurs informations sur le système, notamment le modèle de processeur, le nom de l’ordinateur, la version du système d’exploitation, son emplacement et le nom IP public.
Guardicore a révélé que deux fournisseurs différents étaient responsables du développement des programmes C2 implantés sur le serveur basé en Chine.
Mais l’équipe de recherche a déclaré que leur système de contrôle à distance fonctionne de manière similaire, puisque tous deux, ils téléchargent des fichiers, installent de nouveaux services Windows, capturent l’écran et activent à la fois le microphone et la caméra. Les activités des deux fournisseurs suivent ces lignes, mais pas dans un ordre particulier, a déclaré M. Guardicore.
Plus de 2 000 bases de données infectées
Les chercheurs en sécurité ont révélé que plus de 2 000 serveurs de bases de données ont déjà été infectés au cours des dernières semaines. Les victimes sont issues de différents secteurs, notamment l’enseignement supérieur, les technologies de l’information et les télécommunications, l’aviation et le domaine de la santé, et ce dans toute la Turquie, la Corée du Sud, l’Inde et la Chine.
Toutefois, pour réprimer l’attaque, les chercheurs ont publié un script qui permettra aux administrateurs de systèmes de savoir si les hackers ont attaqué l’un des serveurs MS-SQL de Windows.
L’attaque est connue sous le nom de « Vollgar », du nom de la cryptomonnaie Voller qu’elle exploite. Vollgar commence par une tentative de connexion forcée sur le serveur MS-SQL. Si l’attaque réussit, elle donne accès à l’exécution de plusieurs changements de configuration, ce qui permet de télécharger des binaires de logiciels malveillants et d’exécuter des commandes MS-SQL malveillantes.
Les acteurs derrière l’attaque s’assurent également que les exécutables ftp.exe et cmd.exe ont les autorisations appropriées.
Les attaquants s’assurent également que certaines classes de COM sont prêtes; Windows ScriptHost Object Model (wshom), Microsoft.Jet.OLEDB.4.0, et WbemScripting.SWbemLocator.
Ces classes prennent en charge à la fois l’exécution de commandes et les scripts WMI via MS-SQL, qui sont utilisés pour télécharger le binaire initial du logiciel malveillant.
Nouvelle porte dérobée pour MS-SQL établie par les attaquants
En plus de s’assurer que les fichiers ftp.exe et cmd.exe ont les autorisations requises, les acteurs qui dirigent Vollgar établissent également une nouvelle porte dérobée vers la base de données MS-SQL où ils peuvent revenir plus tard pour l’exploiter.
Une fois le premier arrangement terminé, l’attaque se poursuit pour mettre en place des scripts de téléchargement (un script FTP et deux VBScripts). Les deux scripts sont généralement exécutés plusieurs fois, mais avec un nouvel emplacement cible à chaque fois qu’ils sont exécutés pour éviter toute défaillance.
Pendant l’attaque, l’une des charges utiles, connue sous le nom de SQLAGENTVDC.exe, met fin à plusieurs processus afin de sécuriser le bon niveau de ressources système. Elle supprime également les activités des autres acteurs de la menace et élimine complètement leur présence dans le système infecté.
De plus, l’attaque est déguisée en virus compte-gouttes pour le mineur de cryptomonnaie XMRig qui mine du Monero ainsi que tous les altcoins appelés Vollar ou VDS.
Protection contre les attaques par force brute
Comme plus de 500 000 systèmes utilisent le service de base de données MS-SQL, la plupart des attaques ont prouvé que les hackers s’intéressent davantage aux serveurs de base de données dont les mesures de sécurité sont moins strictes. Au moins, ces serveurs vulnérables leur facilitent la tâche.
Guardcore a conseillé aux utilisateurs et aux organisations de s’assurer que leurs serveurs MS-SQL en ligne sont correctement protégés par des mots de passe forts qui seraient difficiles à craquer.
D’après les chercheurs:
« Ce qui rend ces serveurs de base de données attrayants pour les attaquants, en dehors de leur précieuse puissance de calcul, c’est l’énorme quantité de données qu’ils contiennent ».
Elle a ajouté que les appareils conservent des informations personnelles comme les numéros de cartes de crédit, les mots de passe, ainsi que les noms d’utilisateur. Si ces informations ne sont pas complètement protégées par un mot de passe, une simple attaque par force brute peut les exposer aux attaquants, ont conclu les chercheurs.
