Экспертам Huntress удалось идентифицировать методы атаки злоумышленников на базу данных MSSQL, начиная с грубой атаки на учетные данные через интерфейс ODBC и злоупотребление учетной записью "sa".
Описание
Злоумышленники проникли в систему через атаку на базу данных MSSQL, проводя грубую атаку с использованием общепринятых паролей и успешно пройдя аутентификацию после более чем 37 000 попыток. После получения доступа они использовали функцию xp_cmdshell для выполнения команд оболочки; чтобы убедиться, что их команды будут выполнены, они изменили ключи реестра. Затем злоумышленники произвели "убийство" антивирусных процессов, используя задачу taskkill.exe и запрещая запуск антивирусных приложений через функцию IFEO в реестре.
Для загрузки вредоносного ПО злоумышленники отключили брандмауэр Windows и использовали файлы ответов FTP для создания неуправляемых сценариев. После создания файла ответа они использовали команду "ftp -s:NameOfScript.txt" для загрузки вредоносного файла с FTP-сервера. Для предотвращения запуска антивирусных продуктов, они использовали технику изменения значения IFEO в реестре, чтобы указать taskkill.exe вместо указанных процессов, обеспечивая выполнение нежелательных действий.
Этот инцидент показывает сложность ситуации, вызванной взломом системы через MSSQL, и демонстрирует, как хакеры могут использовать различные методы для осуществления атак и обхода системной защиты. Этот случай подчеркивает необходимость комплексного подхода к обеспечению безопасности информационных систем с учетом разнообразия потенциальных уязвимостей и сценариев атак.
Индикаторы компрометации
IPv4
- 103.228.131.193
- 103.230.108.85
- 107.179.126.94
- 114.80.253.90
- 117.21.191.79
- 118.192.151.7
- 118.193.231.203
- 118.254.32.82
- 123.249.27.61
- 123.249.27.92
- 123.249.79.241
- 14.152.95.39
- 157.52.163.121
- 162.109.168.17
- 173.254.203.28
- 175.19.209.140
- 180.97.215.155
- 180.97.215.61
- 180.97.239.21
- 180.97.239.22
- 183.47.48.214
- 190.216.240.209
- 198.55.114.203
- 219.223.8.218
- 220.189.255.9
- 221.194.44.221
- 222.173.103.229
- 222.186.10.245
- 222.186.190.123
- 23.238.133.194
- 42.51.33.115
- 49.4.135.126
- 49.4.135.223
- 49.4.142.141
- 49.4.142.187
- 49.4.142.195
- 49.4.142.49
- 49.4.143.176
- 58.221.72.196
- 58.253.66.22
- 59.33.252.251
- 59.63.189.106
SHA256
- 085ba2ddcae15e2dd996b8152d6512c53958e7e6ae0bd87a5f2f7c7e4352428e
- 4187894e15916bb51bb7c7f9297e15a6ddec9839ead55148c7e62821d42a5bab
- 420bdfbd9df7773185c39a771d24b6ffa7a38c3983ce08448b55182bbe77d004
- 42a0e84845714ee18f63f80e37b26fe7c29f52cd76305db6c10d51c0534e6a53
- 477d7ad7fc262f168df18f61334ea2e0499de71ffd04f2fe23513f3d441e83e2
- 748e5d31dfd30eeb2e34423f8b7c173b1c0585a98aecd57ef955bbfdb01b74ec
- a603f7ceb5f80069674b31879acbfd3aeb7786e43a910194270740602b939406
- e62d433e662bff743e8d0fc554c2308db6c72fa500e64091d76e127445f337e1
- ed756c1cd9167690ad6a054c5b25a246289c93adb48e94f864b47d847bfd176e
