Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил, что на плохо управляемых серверах MS-SQL установлена программа-рансом Trigona. Trigona - относительно недавняя программа-вымогатель, впервые обнаруженная в октябре 2022 года, и подразделение Unit 42 недавно опубликовало отчет, основанный на сходстве между Trigona и программой-вымогателем CryLock.
Trigona Ransomware
Плохо управляемые серверы MS-SQL обычно относятся к тем, которые открыты для внешних подключений и имеют простые учетные данные, что делает их уязвимыми для атак методом перебора или по словарю. Если субъекту угрозы удастся войти в систему, контроль над ней будет передан ему, что позволит ему установить вредоносное ПО или выполнить вредоносные команды.
Кроме того, MS-SQL может быть установлен как на серверах Windows, так и в настольных средах. Например, бывают случаи, когда MS-SQL устанавливается вместе с некоторыми ERP и решениями рабочего назначения в процессе их установки. Поэтому и серверы Windows, и настольные системы Windows могут стать мишенью для атак на MS-SQL Server.
ASEC отслеживает атаки на плохо управляемые серверы MS-SQL. ASEC Report также делится ежеквартальной статистикой информации, включая количество атак и вредоносное ПО, используемое в атаках. В этих атаках может использоваться большинство типов вредоносного ПО, включая троянские программы, бэкдоры, CoinMiners и ransomware. Если говорить о программах-вымогателях, то наиболее распространенными являются Mallox и GlobeImposter.
Система, которая в настоящее время является объектом анализа, представляет собой среду, где установлен внешний сервер MS-SQL и предполагается, что учетные данные не соответствуют требованиям. Это означает, что несколько субъектов угроз уже получили учетные данные, в результате чего были обнаружены журналы обнаружения различных программ-вымогателей, таких как Remcos RAT и CoinMiners.
Предполагается, что перед установкой Trigona субъект угрозы сначала устанавливает вредоносное ПО CLR Shell. Хотя было подтверждено наличие нескольких журналов регистрации вредоносного ПО, основанием для такого предположения служит сходство по времени с временем атак вымогательского ПО и тот факт, что оно присутствовало в большинстве систем, на которые были совершены атаки Trigona. Кроме того, подтверждено, что эта вредоносная программа CLR Shell содержит процедуру, использующую уязвимости повышения привилегий, что, предположительно, связано с высокими привилегиями, требуемыми Trigona, поскольку она работает как служба.
В среде MS-SQL существует множество методов выполнения команд ОС, помимо команды xp_cmdshell, и один из них включает использование расширенной процедуры CLR. Эта функция изначально использовалась для предоставления расширенных возможностей на SQL-серверах. Однако субъекты угроз могут злоупотреблять ею для добавления и использования вредоносных функций. CLR Shell - это разновидность вредоносной программы со сборкой CLR, которая получает команды от субъектов угроз и выполняет вредоносные действия, аналогично WebShells веб-серверов.
LemonDuck - пример штамма вредоносного ПО, использующего CLR Shell. LemonDuck также нацелен на серверы MS-SQL для распространения по внутренней сети, а вредоносное поведение осуществляется после входа в учетную запись sa, которая получается в результате сканирования и атак по словарю. Команды xp_cmdshell могут использоваться для вредоносного поведения, но метод ExecCommand() этой CLR Shell, evilclr.dll, используется при загрузке дополнительной полезной нагрузки.
CLR Shell, подтвержденная в ходе атак вымогательского ПО Trigona, не имеет процедуры выполнения команд, но поддерживает такие функции, как повышение привилегий (эксплуатация уязвимости MS16-032), сбор информации и конфигурирование учетных записей пользователей. Агент угрозы может использовать его для выполнения различных вредоносных действий с высоким уровнем привилегий.
Процедура, используемая для эксплуатации уязвимости MS16-032, почти такая же, как и раскрытый код, и она использует свои повышенные привилегии для выполнения двоичного файла, включенного в нее.
Файл "nt.exe", созданный и исполняемый с помощью CLR Shell, имеет следующие простые функции: редактирование реестра и перезагрузка системы для изменения учетной записи службы SQL на LocalSystem.
Таким образом, процесс MS-SQL sqlservr.exe, который работает с привилегией "NT Service\MSSQL$SQLEXPRESS", выполняется с привилегиями LocalSystem после редактирования реестра и перезагрузки системы. Затем объект угрозы может использовать процесс MS-SQL, который теперь имеет повышенные привилегии, для осуществления вредоносного поведения.
Согласно журналам заражения, программа Trigona ransomware устанавливается после вредоносной программы CLR Shell. Ниже приведен журнал из ASD компании AhnLab, который показывает, что процесс MS-SQL sqlservr.exe устанавливает Trigona под именем svcservice.exe.
svcservice.exe - это вредоносная программа-дроппер, которая работает как служба. При запуске в качестве службы он создает и запускает по тому же пути собственно программу Trigona ransomware, svchost.exe. Он также создает и запускает файл svchost.bat, который является пакетным файлом, отвечающим за выполнение выкупа. svchost.bat сначала регистрирует двоичный файл Trigona в ключе Run, чтобы гарантировать, что он может быть запущен даже после перезагрузки. Затем он удаляет теневые копии томов и отключает функцию восстановления системы, делая невозможным восстановление после заражения ransomware.
После этого запускается файл svchost.exe, который является программой Trigona ransomware, и удаляется зарегистрированная ранее служба "svcservice". После запуска Trigona выполняется с аргументами для каждого диска от C:\ до Z:\.
Trigona - это программа-вымогатель, разработанная на Delphi, которая шифрует файлы, не различая их расширений. Файлы, которые были зашифрованы, имеют расширение "._locked".
В каждой папке генерируется записка с именем "how_to_decrypt.hta". Агент угрозы сообщает жертве, что ее данные были зашифрованы с помощью надежного алгоритма AES, и инструктирует ее установить браузер Tor и связаться с указанным адресом, чтобы начать процесс восстановления.
Onion-адрес угрожающего субъекта: hxxp://3x55o3u2b7cjs54eifja5m3ottxntlubhjzt6k6htp5nrocjmsxxh7ad[.]onion/
Типичные атаки, направленные на серверы MS-SQL, включают атаки методом перебора и атаки по словарю на системы, где учетные данные плохо управляются. Администраторы также должны использовать пароли, которые невозможно легко угадать, и периодически менять их, чтобы защитить серверы баз данных от атак методом перебора и по словарю.
Indicators of Compromise
URLs
- http://3x55o3u2b7cjs54eifja5m3ottxntlubhjzt6k6htp5nrocjmsxxh7ad.onion/
MD5
- 1cece45e368656d322b68467ad1b8c02
- 1e71a0bb69803a2ca902397e08269302
- 46b639d59fea86c21e5c4b05b3e29617
- 530967fb3b7d9427552e4ac181a37b9a
- 5db23a2c723cbceabec8d5e545302dc4