Хакеры пытаются проникнуть в облачные среды через серверы Microsoft SQL, уязвимые для SQL-инъекций.
Исследователи безопасности Microsoft сообщают, что подобная техника латерального перемещения уже встречалась в атаках на другие сервисы, такие как виртуальные машины и кластеры Kubernetes.
Однако SQL-серверы используются для этих целей впервые.
Цепочка атак
Атаки, наблюдаемые Microsoft, начинаются с эксплуатации уязвимости SQL-инъекции в приложении, находящемся в среде объекта атаки.
Это позволяет злоумышленникам получить доступ к экземпляру SQL Server, размещенному на виртуальной машине Azure, с повышенными правами на выполнение SQL-команд и извлечение ценных данных.
К ним относятся данные о базах данных, именах таблиц, схемах, версиях баз данных, конфигурации сети и разрешениях на чтение/запись/удаление.
Если скомпрометированное приложение имеет повышенные права, злоумышленники могут создать на хосте оболочку, включив команду 'xp_cmdshell' для выполнения команд операционной системы (ОС) через SQL.
Команды, выполняемые злоумышленниками на этом этапе, включают в себя следующее:
- Чтение каталогов, перечисление процессов и проверка сетевых ресурсов.
- Загрузка закодированных и сжатых исполняемых файлов и сценариев PowerShell.
- Установка запланированного задания на запуск скрипта бэкдора.
- Получение учетных данных пользователя путем дампа ключей реестра SAM и SECURITY.
- Эксфильтрация данных с помощью уникального метода с использованием бесплатного сервиса 'webhook.site', позволяющего проверять и отлаживать HTTP-запросы и сообщения электронной почты.
Использование легитимного сервиса для эксфильтрации данных снижает вероятность того, что эта активность покажется подозрительной или вызовет какие-либо флаги со стороны средств защиты, что позволяет злоумышленникам незаметно похитить данные с хоста.
Далее злоумышленники попытались использовать облачную идентификацию экземпляра SQL Server для доступа к IMDS (Instant Metadata Service) и получения ключа доступа к облачной идентификации.
В Azure ресурсам обычно присваиваются управляемые идентификаторы для аутентификации с другими облачными ресурсами и сервисами. Если злоумышленники получат этот ключ, они смогут использовать его для доступа к любому облачному ресурсу, который разрешен данной идентификацией.
По словам представителей Microsoft, злоумышленникам не удалось успешно использовать эту методику из-за наличия ошибок, однако подход остается актуальным и представляет серьезную угрозу для организаций.
В заключение участники атаки удалили все загруженные скрипты и временные изменения в базе данных, чтобы стереть следы атаки.
Советы по защите
Microsoft рекомендует использовать Defender for Cloud и Defender for Endpoint для обнаружения SQL-инъекций и подозрительной активности SQLCMD, которые были использованы в наблюдаемой атаке.
Для снижения угрозы Microsoft рекомендует применять принцип наименьших привилегий при предоставлении прав пользователям, что всегда создает трудности при попытках латерального перемещения.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!