بات نت بی رحمانه KingMiner به پایگاه داده های MSSQL برای نصب ماینر های ارز دیجیتال

باند KingMiner، کاربر “sa” را که بالاترین امتیاز را در یک پایگاه داده MSSQL دارد، قدرتمندانه بات نت می کند.

شرکت امنیت سایبری انگلیس، سوفوس، امروز در گزارشی اظهار داشت، به صاحبان پایگاه های داده MSSQL توصیه می شود سرورهای خود را ایمن کنند.

این شرکت اعلام کرده است که یک عملیات بات نت را شناسایی کرده است که پایگاههای داده MSSQL را با حملات بی رحمانه هدف قرار می دهد که می خواهند رمز ورود را برای حساب “sa” (سرور ادمین) حدس بزنند.

هنگامی که هکرها به یک سیستم MSSQL آسیب پذیر آسیب می زنند، کاربر دیگری از پایگاه داده به نام “dbhelp” ایجاد می کنند و یک ماینر رمزارز را نصب می کنند که از منابع سرور سوء استفاده می کند تا سود این باند را بدست آورد.

KINGMINER از اواخر سال 2018 شروع به فعالیت کرده است

سوفوس می گوید این عملیات بات نت با نام KingMiner انجام می شود و همان باندی است که قبلاً در گزارشی از فرم سایبر امنیتی Check Point در اواخر سال 2018 و سپس دوباره توسط Qihoo 360 Total Security در جولای 2019 ثبت شده بود.

در حالی که اکثر بات نت های بدافزار فقط پس از چند هفته یا چند ماه فعالیت از بین می روند، به نظر می رسد که عملیات KingMiner سود کافی برای کلاهبرداران برای ادامه حملات حتی تا امروز داشته است.

علاوه بر این ، کد بات نت نیز با گذشت زمان تکامل یافته است ، نشان می دهد که هکرها برای تیز کردن ابزارهای حمله و روال خود سرمایه گذاری کرده اند.

سوفوس می گوید که عملیات KingMiner اکنون پایدارتر و قادر به ریشه زدن روی سرور اصلی ویندوز است که پایگاه داده MSSQL در آن کار می کند. این کار با بهره برداری از اشکالات امتیاز ویژه، مانند CVE-2017-0213 یا CVE-2019-0803 انجام می شود، که به بدافزارهای KingMiner امکان دسترسی به اجرای کد با امتیازات مدیر را می دهند.

سوفوس می گوید که اپراتورهای KingMiner این اقدام اضافی را برای جلوگیری از اختلال در عملکرد آن ، یا با راه حل های امنیتی یا سایر بات نت هایی که ممکن است همان سرور را آلوده کنند ، اضافه کرده اند.

KINGMINER با دسترسی گستردهای در حال تجربه کسب کردن است

منطقه دیگری که به نظر می رسد باند KingMiner در حال گسترش است ، گسترش دسترسی از سرور MSSQL به سیستمهای دیگری است که بانک اطلاعاتی به آنها متصل شده است.

تمرکز KingMiner در گسترش دسترسی به شبکه های داخلی چیز جدید یا عجیبی نیست، زیرا این رفتار کاملاً مشابه در چندین باتنت ماینینگ رمزارز دیگر نیز مشاهده شده است. با این حال ، در حال حاضر ، KingMiner در مراحل اولیه اجرای چنین ویژگی است.

این کار از چندین طریق انجام می شود. اولین مورد این است که KingMiner اکنون در حال آزمایش استخراج EternalBlue است، همان آسیب پذیری مورد استفاده در شیوع باج افزار WannaCry و NotPetya سال 2017.

EternalBlue به مهاجمان اجازه می دهد تا از طریق اشکال در پیاده سازی پروتکل سرور پیام (SMB) خود به سیستم های ویندوز از راه دور دسترسی پیدا کنند. اگرچه اصلاحات در تعمیر این مشکلات از سال 2017 در دسترس بوده است.

راه دوم که botnet در تلاش است تا به صورت محلی گسترش یابد ، بارگیری سایر ابزارها و بدافزارها روی سرورهای آلوده MSSQL است. اینها شامل دامنه رمز عبور Mimikatz است، تروجان دسترسی از راه دور Gh0st و تروجان دروازه عقب Gates.

احتمالا KingMiner این کار را انجام می دهد تا بتواند کلمه عبور را برای سیستمهای دیگر که سرور پایگاه داده به آنها متصل است، سرقت کند. با این حال ، سوفوس می گوید این هنوز در مراحل اولیه خود است.

این شرکت امنیتی گفت: “حضور Mimikatz یک تحول جدید است که فقط در آخرین مخازن موجود است. ما ندیده ایم که از آن استفاده شود، اما اسکریپت دانلود کننده به آن اشاره کرده است. این احتمالاً یک کار در دست انجام است.”

اما عجیب ترین ویژگی که Sophos به آن پی برد این بود که اپراتورهای KingMiner همچنین سیستم آلوده را اسکن می کردند تا ببینند در پروتکل Remote Desktop از BlueKeep آسیب پذیر است یا نه.

اگر این سیستم آسیب پذیر باشد ، باند KingMiner دسترسی RDP به پایگاه داده را غیرفعال می کند تا از هک شدن سرور توسط سایر عملکردهای مخرب جلوگیری کند.

روی هم رفته، KingMiner نشان می دهد که با وجود بالا و پایین رفتن ئقیمت cryptocurrency Monero ، بات نت های بدافزار همچنان به سود خود رسیده اند. این سود باعث شده هکرها دلیلی برای پیروی از سیستم های آسیب پذیر و به ویژه پس از پایگاه های داده MSSQL که برخی از سرورهای بسیار هدفمند با استفاده از باتنت های رمزگذاری شده هستند، داشته باشند.

سایر botnet هایی که به سیستم های MSSQL حمله کرده اند شامل مواردی چون Vollgar، Nansh0u، MyKings (Smominru) و MassMiner هستند.

برای جلوگیری از حملات KingMiner ، ساده ترین راه این است که حساب کاربری sa را با یک رمز عبور قوی ایمن کنید. حساب sa با بالاترین امتیازات در سیستم MSSQL در نظر گرفته شده است و باید بر این اساس ایمن باشد.

قبلی «
بعدی »

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسترسی به مطالب

نوشته‌های تازه

اخبار