脆弱なマイクロソフト SQL サーバーに Cobalt Strike ビーコンをインストールし、さらなるマルウェア感染につながる攻撃が新たに確認されていることがわかりました。
MS-SQLサーバーは、Windows環境の代表的なデータベースサーバーであり、過去から一貫して攻撃対象として扱われてきました。MS-SQLサーバーを狙った攻撃としては、その脆弱性のパッチが適用されていない環境に対する攻撃、ブルートフォース、管理の甘いサーバーに対する辞書攻撃などがあります。
MS-SQL Serverは、大規模なインターネット・アプリケーションから小規模な単一システムまで、幅広く利用されているデータベース管理システムです。
これらの導入環境の多くは弱いパスワードでインターネットに公開されているため、十分なセキュリティが確保されておらず、Ahn LabのASECのレポートによると攻撃者がこれを利用しているとのことです。
Cobalt StrikeによるMS-SQLの標的化
攻撃者がTCPポート1433が開いているサーバーをスキャンしていますが、こちらは公開されているMS-SQLサーバーを対象にしていると考えられます。
そして、攻撃者はパスワードを解読するために、ブルートフォース攻撃と辞書攻撃を実施。いずれの方法でも、攻撃対象のパスワードが脆弱であることが必要です。
攻撃者が管理者アカウントにアクセスし、サーバにログインするとLemon Duck、KingMiner、Vollgarなどのコインマイナーが投下されるのをASECの研究者は確認しています。
さらに、攻撃者はCobalt Strikeでサーバをバックドア化し、アクセスの永続性を確立してネットワークの横展開を実行します。
Cobalt Strikeは、コマンドシェルプロセス(cmd.exeおよびpowershell.exe)を介して感染したMS-SQLにダウンロードされ、検出を回避するためにMSBuild.exeに注入され実行されます。
実行後、ビーコンはWindowsの正規のwwanmm.dllプロセスに注入され、システムライブラリファイル内に潜伏したまま攻撃者のコマンドを待ち受けます。
攻撃者のコマンドを受信して悪意のある動作を行うビーコンは、メモリ領域に存在せず、通常のモジュールwwanmm.dllで動作するため、メモリベースの検出を回避しているようです。
Cobalt Strikeは商用のペンテスト(攻撃型セキュリティ)ツールで、その強力な機能が特に悪意のある作戦に役立つと考えるサイバー犯罪者によって広範囲に悪用されています。
1ライセンス3,500ドルのこのツールは、ホワイトハッカーやレッドチームがセキュリティ体制を強化したい組織に対する実際の攻撃をシミュレートするためのものでしたが、クラック版が流出した瞬間から、脅威者による利用が制御不能に陥りました。
現在ではSquirrelwaffle、Emotet、マルウェア運営者、Linuxを標的とするグループ、ランサムウェアグループの攻撃を行う際に使用されています。
脅威者がこれほどまでに悪用される理由は、以下の豊富な機能にあります。
- コマンド実行
- キーロギング
- ファイル操作
- SOCKSプロキシ
- 特権の拡大
- ミミカッツ(認証情報の窃取)
- ポートスキャン
また、「ビーコン」と呼ばれるCobalt Strikeのエージェントはファイルレスのシェルコードであるため、特に管理の甘いシステムではセキュリティツールに検出される可能性が低くなっています。
この種の攻撃からMS-SQLサーバーを保護するには、強力な管理者パスワードを使用し、サーバーをファイアウォールの背後に置き、すべてを記録して疑わしい行動を監視。利用可能なセキュリティ更新プログラムを適用し、データアクセスコントローラーを使用してすべてのトランザクションを検査しポリシーを適用することと説明しています。
Comments