Os servidores SQL da Microsoft, que precisam de proteção adequada no qual ainda não possuem têm se tornado alvo de diversos grupos de cibercriminosos, incluindo gangues especializadas em ransomware.
Recentemente, em uma campanha de ataque denominada DB#JAMMER, hackers empregaram táticas de força bruta para infiltrar-se em servidores MSSQL, resultando na implantação de duas ameaças notáveis: o Cobalt Strike e uma variante do ransomware conhecida como FreeWorld, ampliando ainda mais a ameaça cibernética.
Um aspecto que chama a atenção nesta campanha reside na maneira como a infraestrutura de ferramentas e as cargas úteis dos invasores são empregadas.
Algumas das ferramentas utilizadas englobam software de enumeração, cargas de RAT (Trojans de Acesso Remoto), aplicativos de exploração e roubo de credenciais, culminando em cargas úteis de ransomware.
Os invasores usam a técnicas de força bruta para tentar decifrar as credenciais dos servidores MSSQL que estão mirando. No entanto, não está claro se essas tentativas se basearam em dicionários de palavras-chave ou se seguiram a abordagem de pulverização de senha.
Esta última estratégia, em geral, implica a utilização de combinações de nomes de usuário e senhas que foram previamente obtidas em vazamentos de bancos de dados.
Após obter acesso inicial, os invasores procederam com uma investigação do banco de dados, realizando uma enumeração de todos os usuários com permissões de acesso e verificando se a função denominada “xp_cmdshell” estava habilitada.
Essa instrução Transact-SQL concede aos usuários do banco de dados a capacidade de executar comandos shell no ambiente Windows e capturar a saída como texto.
Os invasores aproveitaram extensivamente o recurso “xp_cmdshell”, inicialmente para obter informações detalhadas sobre o sistema e a infraestrutura de rede, utilizando ferramentas nativas do Windows, tais como wmic.exe, net.exe e ipconfig.exe.
Posteriormente, eles utilizaram essa funcionalidade para efetuar alterações nas contas do Windows e no registro do sistema.
Três novos perfis de usuário foram criados no sistema da vítima, identificados como “windows”, “adminv$” e “mediaadmin$”. Notavelmente, cada um desses usuários foi adicionado a dois grupos essenciais: “Usuários de Área de Trabalho Remota” e “Administradores”.
Uma observação intrigante é que os invasores tentaram executar uma linha de comando extensa, projetada para criar os novos usuários e ajustar suas afiliações aos grupos.
No entanto, diversas variações desse comando foram aplicadas para acomodar diferentes idiomas, abrangendo inglês, alemão, polonês, espanhol e catalão.
Outras modificações foram realizadas nos novos perfis de usuário para assegurar que suas senhas e sessões de login permanecessem vigentes indefinidamente.
As alterações no registro foram abrangentes e incluíram a ativação do serviço Remote Desktop Protocol (RDP), a eliminação das restrições de controle de acesso do usuário e a ocultação dos usuários conectados remotamente na tela de login local.
O propósito subjacente a todas essas ações era conferir aos invasores a capacidade de controlar remotamente o sistema através de um método mais confiável e menos suscetível à detecção do que os comandos do banco de dados xp_cmdshell.
Contudo, eles se depararam com um obstáculo quando suas conexões RDP de entrada foram bloqueadas pelo firewall da rede. Em resposta, tentaram implementar um proxy reverso e uma solução de tunelamento conhecida como Ngrok.
Além disso, os invasores configuraram um compartilhamento SMB remoto em um servidor sob seu controle, permitindo-lhes montar localmente um diretório que continha diversas de suas ferramentas e cargas úteis.
Isso incluía um agente de comando e controle Cobalt Strike, arquivado como “srv.exe”. Para facilitar movimentações laterais na rede, também implantaram um scanner de porta de rede e as ferramentas de despejo de credenciais Mimikatz.
Quando os invasores consideraram que o sistema estava completamente sob seu controle, lançaram um arquivo denominado “5000.exe”, que funcionava como um dropper para um programa de ransomware que eles denominaram de “FreeWorld”, mas que, na realidade, é uma variante mais recente do conhecido ransomware Mimic.
Ambos o Mimic e o FreeWorld utilizam um aplicativo chamado “Everything.exe” para localizar os arquivos a serem criptografados. Os arquivos criptografados são identificados por uma extensão “.FreeWorldEncryption”, e o ransomware deixa um arquivo com instruções sobre como efetuar o pagamento do resgate, denominado “FreeWorld-Contact.txt”.
A análise deste incidente destaca a sofisticação crescente das ameaças cibernéticas e a necessidade urgente de reforçar a segurança dos sistemas MSSQL. A adoção de senhas robustas e únicas, juntamente com a restrição do acesso ao xp_cmdshell, emerge como medidas cruciais para mitigar os riscos.
É fundamental que as organizações permaneçam vigilantes e implementem medidas de segurança robustas para proteger seus ativos digitais contra ameaças cada vez mais astutas.
A cibersegurança deve ser uma prioridade constante, e a colaboração entre especialistas, empresas e instituições é essencial para enfrentar e deter eficazmente essas ameaças em evolução constante.
A ACSoftware é distribuidora autorizada da ManageEngine no Brasil e pode oferecer soluções de segurança cibernética e gerenciamento de TI para empresas brasileiras que buscam fortalecer sua soberania digital, também possuímos serviços de consultoria e implantação de soluções de segurança da informação da ManageEngine , ajudando as empresas a desenvolver estratégias personalizadas de segurança cibernética que se adaptem às suas necessidades específicas.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
