Servidores Microsoft SQL (MS SQL) mal gerenciados são o alvo de uma nova campanha projetada para propagar uma categoria de malware chamada CLR SqlShell que facilita o implante de mineradores de criptomoedas e ransomware.
"Similar a um shell web, que pode ser instalado em servidores web, o SqlShell é uma cepa de malware que suporta vários recursos após ser instalado em um servidor MS SQL, como executar comandos de atores mal-intencionados e realizar todo tipo de comportamento malicioso", disse o AhnLab Security Emergency Response Center (ASEC) em um relatório publicado na semana passada.
Uma stored procedure é um sub-rotina que contém um conjunto de declarações SQL (Structured Query Language) para uso em vários programas em um sistema de gerenciamento de banco de dados relacional (RDBMS).
Stored procedures CLR (sigla para common language runtime) - disponíveis no SQL Server 2005 e posteriores - referem-se a stored procedures que são escritos em uma linguagem .NET como C# ou Visual Basic.
O método de ataque descoberto pela empresa sul-coreana de segurança cibernética envolve o uso de stored procedure CLR para instalar o malware em servidores MS SQL usando o comando xp_cmdshell, que gera um shell de comando do Windows e passa uma instrução como entrada para execução.
Algumas das técnicas empregadas por atores mal-intencionados, incluindo aqueles associados ao LemonDuck, MyKings (também conhecido como DarkCloud ou Smominru) e Vollgar, dizem respeito à exploração de servidores MS SQL expostos à internet por meio de ataques de força bruta e dicionário para executar comandos xp_cmdshell e stored procedures OLE e executar malware.
O uso de stored procedures CLR é a mais recente adição a essa lista, com atacantes aproveitando as rotinas SqlShell para baixar payloads de próxima etapa, como Metasploit e mineradores de criptomoedas como MrbMiner, MyKings e LoveMiner.
Além disso, shells Sql chamados SqlHelper, CLRSQL e CLR_module foram usados por diferentes adversários para escalar privilégios em servidores comprometidos e lançar ransomware, proxyware e incorporar capacidades para realizar esforços de reconhecimento em redes direcionadas.
"O SqlShell pode instalar malware adicional como backdoors, mineradores de moedas e proxyware, ou pode executar comandos maliciosos recebidos de atores ameaçadores de forma semelhante a um WebShell", disse o ASEC.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...