Anfällige Microsoft SQL (MS SQL)-Server im Internet werden von Bedrohungsakteuren als Teil einer neuen Kampagne ins Visier genommen, um das Angreifersimulationstool Cobalt Strike auf kompromittierten Hosts einzusetzen.
„Zu den Angriffen auf MS SQL-Server gehören Angriffe auf die Umgebung, in der die Schwachstelle nicht gepatcht wurde, Brute-Forcing und Wörterbuchangriffe auf schlecht verwaltete Server“, so das südkoreanische Cybersicherheitsunternehmen AhnLab Security Emergency Response Center (ASEC) in einem am Montag veröffentlichten Bericht.
Cobalt Strike ist ein kommerzielles, voll funktionsfähiges Penetrationstest-Framework, das es einem Angreifer ermöglicht, einen Agenten namens „Beacon“ auf dem Computer des Opfers zu installieren, der dem Betreiber Fernzugriff auf das System gewährt. Obwohl Cobalt Strike als Red-Team-Simulationsplattform für Bedrohungen angepriesen wird, wurden geknackte Versionen der Software aktiv von einer Vielzahl von Bedrohungsakteuren genutzt.
Bei den von ASEC beobachteten Angriffen scannt der unbekannte Akteur den Port 1433, um nach ungeschützten MS SQL-Servern zu suchen und Brute-Force- oder Wörterbuchangriffe auf das Systemadministratorkonto, d.h. das „sa“-Konto, durchzuführen, um sich einzuloggen.
Das soll nicht heißen, dass Server, die nicht über das Internet zugänglich sind, nicht verwundbar sind, denn der Akteur hinter der LemonDuck-Malware scannt denselben Port, um sich seitlich im Netzwerk zu bewegen.
„Wenn die Anmeldedaten des Administratorkontos so verwaltet werden, dass sie anfällig für Brute-Force- und Wörterbuchangriffe sind, oder wenn die Anmeldedaten nicht regelmäßig geändert werden, kann der MS-SQL-Server zum Hauptziel der Angreifer werden“, so die Forscher.
Wenn die Angreifer erfolgreich Fuß gefasst haben, wird in der nächsten Phase des Angriffs eine Windows-Befehlsshell über den MS-SQL-Prozess „sqlservr.exe“ gestartet, um die Nutzlast der nächsten Stufe mit der verschlüsselten Cobalt Strike-Binärdatei auf das System herunterzuladen.
Die Angriffe gipfeln schließlich darin, dass die Malware die ausführbare Datei von Cobalt Strike dekodiert und anschließend in den legitimen Microsoft Build Engine (MSBuild)-Prozess injiziert, der bereits in der Vergangenheit von böswilligen Akteuren missbraucht wurde, um Remote-Access-Trojaner und passwortdiebische Malware auf die angegriffenen Windows-Systeme zu schleusen.
Außerdem enthält der Cobalt Strike, der in MSBuild.exe ausgeführt wird, zusätzliche Konfigurationen, um die Erkennung durch Sicherheitssoftware zu umgehen. Er erreicht dies, indem er „wwanmm.dll“ lädt, eine Windows-Bibliothek für den WWan Media Manager, und dann den Beacon in den Speicherbereich der DLL schreibt und ausführt.
„Da der Beacon, der den Befehl des Angreifers empfängt und das bösartige Verhalten ausführt, nicht in einem verdächtigen Speicherbereich liegt und stattdessen im normalen Modul wwanmm.dll arbeitet, kann er die speicherbasierte Erkennung umgehen“, so die Forscher.