Ransomware: Cyberangriffe auf MSSQL-Datenbanken
Derzeit greifen Cyberkriminelle MSSQL-Datenbanken vermehrt mit Brute-Force-Attacken an. Ihr Ziel ist die Verteilung der Ransomware Freeworld.
(Bild: Song_about_summer/Shutterstock.com)
IT-Sicherheitsforscher beobachten eine Angriffswelle, bei der die Cyberkriminellen erreichbare Microsoft-SQL-Server kompromittieren. Die Angreifer setzen mit Brute-Force-Angriffen an und scheinen mit einem Arsenal an Werkzeugen schließlich Ransomware und Cobalt-Strike-Fernsteuerungssoftware einzuschleusen.
Die Mitarbeiter von Securonix schreiben in ihrer Analyse, dass die Angreifer mit Brute-Force-Attacken in aus dem Internet erreichbare MSSQL-Server einbrechen. Bei der Angriffswelle falle die Werkzeug-Infrastruktur und die eingeschleuste Software auf. Unter den Tools fände sich Inventarisierungssoftware, Remote-Access-Toolkits, Exploits und Zugangsdaten-stehlende Malware sowie schließlich Ransomware.
MSSQL-Attacken: Weiterentwickelte Ransomware
Den IT-Forschern zufolge installieren die Angreifer eine neuere Variante der "Mimic" genannten Ransomware, die die Analysten "Freeworld" nennen. Dieser Name tauche in der Binärdatei auf und zudem als Ransomware-Dateierweiterung.
In der Analyse der IT-Forscher schauen die sich einen konkreten Fall genauer an. Die bösartigen Akteure hatten einen MSSQL-Server ins Visier genommen und schließlich Zugriff darauf erhalten. Dort war die Funktion xp_cmdshell aktiv, wodurch die Angreifer eigenen Code auf der Maschine ausführen konnten. Sie haben umgehend das System ausgeforscht und Shell-Befehle abgesetzt, um die Verteidigungsmechanismen auszuhebeln und um Werkzeuge zu installieren, die dabei helfen, sich auf der Maschine einzunisten.
Der Zugriff gelang mit einer Brute-Force-Attacke auf Log-in-Daten. Nach der erfolgreichen Authentifizierung haben sie weitere Log-in-Daten mit SQL-Befehlen ausgelesen. Sie stießen auf die aktivierte xp_cmdshell-Funktion, die Administratorinnen und Administratoren nur aktivieren sollten, wenn sie wirklich benötigt wird. Die damit abgesetzten Befehle zur Inventarisierung der Maschine sind standardmäßig auf Windows-Systemen dabei, es handelt sich um "Living-off-the-land"-Binaries. Weiterreichende Informationen lieferten ihnen etwa die Windows Management Instrumentation (WMI) an der Eingabeaufforderung, Befehle wie ipconfig und Ähnliche.
Die Angreifer haben neue Benutzerkonten im System angelegt, mit Gruppenzugehörigkeit zu den Remote Desktop-Nutzern sowie Administratoren. Über Registry-Einträge stellten sie sie sicher, dass RDP-Zugriffe erlaubt und aktiv waren und verwischten ihre Spuren, sodass etwa zuletzt angemeldete Konten nicht angezeigt werden. Zudem deaktivierten sie die Firewall. Weitere Werkzeuge holten sie über Netzlaufwerke im Internet auf das System, die sie als Laufwerke eingebunden haben. Das ermöglichte auch das Ausschleusen von Daten. Weitere Zwischenschritte und eingesetzte Software nennen die Forscher in der Analyse. Am Ende platzierten die Angreifer die Ransomware Freeworld auf dem System. Die verschlüsselte das Host-System und hinterließ Dateien mit den Endungen ".FreeWorldEncryption".
Um sich vor solchen Angriffen zu schützen, empfehlen die Autoren, starke und komplexe Passwörter insbesondere für extern exponierte Dienste zu nutzen. Zudem solle die Nutzung von xp_cmdshell begrenzt werden. Anstatt Dienste ins Netz zu stellen, sollten IT-Verantwortliche dafür auf VPN setzen. Auch die Überwachung von häufig von Malware genutzten Verzeichnissen wie C:\Windows\Temp sei empfehlenswert. Die Analyse liefert auch noch einige Indizien für Angriffe (Indicators of Compromise, IOCs).
Warnungen vor Angriffen auf Schwachstellen in Server-Software sind nicht ungewöhnlich. So wurde jüngst bekannt, dass ein Proof-of-Concept-Exploit für eine kritische Lücke in einer VMware-Software aufgetaucht ist, der Angriffe viel wahrscheinlicher macht.
(dmk)
