Hulumtuesit koreanë të AhnLab kanë zbuluar një valë të re sulmesh me beacon Cobalt Strike kundër serverëve të cenueshëm të Microsoft SQL. Pas fitimit të aksesit, kriminelët kibernetikë mund të kryejnë operacione të shumta, të tilla si vjedhja e të dhënave të ndjeshme dhe instalimi i malware të tjerë, duke përfshirë ransomware.
Cobalt Strike: sulm ndaj Microsoft SQL
Microsoft SQL është një nga DBMS-të relacionale më të njohura për sistemet Windows. Cobalt Strike është në vend të kësaj një nga mjetet më të përdorura nga ekspertët e sigurisë për të ashtuquajturat “teste depërtimi”, por sot përdoret shpesh për të kryer sulme kibernetike. Kriminelët kibernetikë fillimisht skanojnë për serverë të cenueshëm duke skanuar portin 1443 të lënë të hapur nga administratorët e hutuar të IT.
Nëse fjalëkalimi është “i dobët”, nuk kërkon shumë kohë për ta goditur atë me forcë brutale ose sulme të bazuara në fjalor. Pas zbulimit të fjalëkalimit të llogarisë së administratorit, kriminelët kibernetikë mund të instalojnë një kriptominer, si Lemon Duck, KingMiner ose Vollgar dhe mjetin e famshëm Cobalt Strike.
Pas ekzekutimit të tij, një beacon instalohet në procesin e Windows wwanmm.dll. Beacon merr komanda nga distanca dhe ju lejon të kryeni operacione të ndryshme, pa u zbuluar, sepse përdor zonën e kujtesës të procesit legjitim dhe nuk kopjohet në disk.
Karakteristikat e Cobalt Strike përfshijnë: ekzekutimin e komandës, regjistrimin e tasteve, operacionet e skedarëve, përshkallëzimin e privilegjeve, skanimin e portit dhe vjedhjen e kredencialeve me Mimikatz. Këshillat për minimizimin e rreziqeve janë gjithmonë të njëjta: përdorni fjalëkalime të forta, fshihni serverin pas një muri zjarri dhe instaloni të gjitha përditësimet e disponueshme të sigurisë.
Discussion about this post