CẢNH BÁO: Hacker đã cài đặt backdoor bí mật vào hàng ngàn Máy chủ SQL của Microsoft

Hôm 1/4 vừa rồi, các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch độc hại được bắt đầu từ tháng 5/2018 nhằm vào các máy Windows có cài SQL Server để triển khai backdoor và các loại phần mềm độc hại khác như các công cụ truy cập từ xa đa chức năng (remote access tools – RAT) và phần mềm đào tiền ảo .



Chiến dịch tấn công này được đặt tên là “Vollgar”, ghép từ Vollar (loại tiền ảo mà nó khai thác) và “vulgar” (cách thức mà nó tấn công). Các nhà nghiên cứu tại Guardicore Labs cho biết cuộc tấn công sử dụng brute-force (tấn công thử mật khẩu) để xâm nhập vào các máy tính có cài SQL Server có thông tin đăng nhập dễ đoán.



Các nhà nghiên cứu tuyên bố trong vài tuần qua, mỗi ngày những kẻ tấn công đã tìm cách lây nhiễm thành công gần 2.000-3.000 máy tính có cài MS-SQL, với các nạn nhân chủ yếu thuộc ngành y tế, hàng không, CNTT & viễn thông và các giáo dục bậc cao trên khắp Trung Quốc, Ấn Độ, Mỹ, Hàn Quốc và Thổ Nhĩ Kỳ.



Tin tốt là các nhà nghiên cứu cũng đã phát hành một tập lệnh giúp hệ thống phát hiện bất kỳ mối đe dọa nào xâm nhập vào SQL Server.



Vollgar: Chuỗi tấn công phần mềm độc hại vào hệ thống MS-SQL



Cuộc tấn công Vollgar bắt đầu bằng tấn công brute-force vào SQL Server . Sau đó kẻ tấn công sẽ thực hiện một số thay đổi cấu hình để chạy các lệnh MS-SQL độc hại và tải về các tệp malware nhị phân.



Các nhà nghiên cứu cho biết “Kẻ tấn công cũng xác nhận rằng một số lớp COM (Component Object Model – mô hình thành phần) nhất định như WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 và Windows Script Host Object Model (wshom – một công nghệ tự động của Windows). Các lớp này hỗ trợ cả kịch bản lệnh WMI và thực thi lệnh thông qua MS-SQL. Sau đó nó sẽ tải xuống malware nhị phân ban đầu”.



Ngoài việc đảm bảo rằng các tệp cmd.exe và ftp.exe có các quyền thực thi cần thiết, kẻ điều hành đằng sau Vollgar cũng tạo backdoor người dùng mới cho cơ sở dữ liệu của MS-SQL cũng như trên hệ điều hành với các đặc quyền nâng cao.



Sau khi hoàn thành thiết lập ban đầu, cuộc tấn công tiến hành tạo các downloader script (2 VBScripts và 1 FTP script). Chúng được chạy “vài lần”, mỗi lần lại nhắm đến một vị trí khác nhau trên hệ thống tệp cục bộ để tránh các lỗi có thể xảy ra.



Một trong những payloads đầu tiên được đặt tên là SQLAGENTIDC.exe hoặc SQLAGENTVDC.exe . Trước tiên chúng tiến hành tạo một danh sách dài các quy trình với mục tiêu đảm bảo số lượng tài nguyên hệ thống tối đa, loại bỏ hoạt động của các tác nhân đe dọa khác và loại bỏ sự hiện diện của chúng trên máy tính bị tấn công.



Chúng còn hoạt động như một dropper (một loại trojan cài phần mềm độc hại) cho các công cụ truy cập từ xa và công cụ đào tiền điện tử XMRig-based. Những công cụ này chuyên khai thác đồng Monero và một altcoin tên VDS hay Vollar.



Cơ sở hạ tầng tấn công được lưu trữ trên các hệ thống gây hại



Công ty an ninh mạng Guardicore cho biết những kẻ tấn công đặt toàn bộ cơ sở hạ tầng của mình trên các máy bị xâm nhập, bao gồm cả máy chủ command-and-control (C&C server) chính ở Trung Quốc. Tuy nhiên, chúng đã bị phát hiện bởi nhiều nhóm tấn công khác.



Guardicore cho biết “Trong C&C server có một số các tệp là công cụ tấn công MS-SQL. những tệp này chịu trách nhiệm quét các dải IP, thực hiện brute-force những cơ sở dữ liệu và thực hiện các lệnh từ xa”.



“Ngoài ra, chúng tôi đã tìm thấy hai chương trình CNC (Computer Numerical Control – điều khiển các loại máy bằng máy tính) có giao diện đồ họa người dùng bằng tiếng Trung, một công cụ sửa đổi giá trị băm của tệp, máy chủ tệp HTTP di động (HFS), máy chủ FTP Serv-U và bản sao của tệp mstsc.exe (Microsoft Terminal Services Client) được sử dụng để kết nối với nạn nhân qua RDP (Remote Desktop Protocol).”



Khi một máy khách Windows ping máy chủ C&C, máy khách thứ hai cũng nhận được thông tin chi tiết về máy khách 1 như IP công khai, vị trí, phiên bản hệ điều hành, tên máy tính và mô hình CPU.



Guardicore cho biết hai chương trình C2 được cài đặt trên máy chủ tại Trung Quốc được phát triển bởi hai nhà cung cấp khác nhau. Công ty tiết lộ có những điểm tương đồng trong khả năng điều khiển từ xa của của 2 máy này. Cụ thể là khả năng tải xuống các tệp, cài đặt dịch vụ Windows mới, keylogging , chụp màn hình, kích hoạt camera, micro và thậm chí khởi động một cuộc tấn công từ chối dịch vụ phân tán .



Sử dụng mật khẩu mạnh để tránh các cuộc tấn công brute-force



Với khoảng nửa triệu máy sử dụng MS-SQL, cuộc tấn công này là một dấu hiệu khác cho thấy những kẻ tấn công đang nhắm đến các máy chủ cơ sở dữ liệu được bảo vệ kém hòng đánh cắp các thông tin nhạy cảm. Việc chúng ta cần làm bây giờ là phải sử dụng các biện pháp bảo mật cao cho các máy tính cài MS-SQL Server có tiếp xúc với internet.



Các nhà nghiên cứu của Guardicore kết luận “Ngoài sức mạnh của CPU thì lượng dữ liệu khổng lồ trong nó là điều làm cho các máy chủ cơ sở dữ liệu hấp dẫn những kẻ tấn công. Những máy này có thể lưu trữ thông tin cá nhân như tên người dùng, mật khẩu, số thẻ tín dụng, v.v., có thể rơi vào tay kẻ tấn công chỉ bằng bước brute-force đơn giản.”



Quỳnh Thảo



Theo TheHackerNews
The post CẢNH BÁO: Hacker đã cài đặt backdoor bí mật vào hàng ngàn Máy chủ SQL của Microsoft appeared first on SecurityDaily .