Se ha detectado un nuevo método de ataque a través de Cobalt Strike, mediante la explotación por fuerza bruta o por ataques de diccionario a servidores MS-SQL Server con el puerto 1433 por defecto, que se encuentran expuestos a internet y que cuentan con contraseñas débiles.
Cobalt Strike es una herramienta de pruebas de penetración que permite a un atacante implementar un agente llamado «beacon» en la máquina de la víctima, otorgando al operador acceso remoto al sistema, lo que lleva a una infiltración más profunda y a posteriores ataques de malware.
Cobalt Strike se ejecuta en el archivo MSBuild.exe, el cual posee una opción de configuración adicional para eludir la detección de los protocolos de seguridad, donde se carga el archivo wwanmm.dll y se ejecuta el “beacon” sobrepasando los controles de seguridad.
Una vez que el atacante obtiene acceso a la cuenta de administrador e inicia sesión en el servidor, podría instalar troyanos para minería de criptomonedas como: Lemon Duck, KingMiner y Vollgar.
La falla en la gestión de las credenciales de la cuenta de administrador puede convertir al servidor MS-SQL en el principal objetivo del atacante.
La metodología de ataque es la siguiente:
- El ataque inicia con el atacante realizando una búsqueda de servidores MS-SQL con el puerto TCP 1433 abierto y expuesto a internet.
- Posterior a esto genera una serie de ataques de fuerza bruta a través de diccionarios preestablecidos, en un intento de descifrar a través de este método la contraseña.
- Una vez dentro del servidor MS-SQL, el atacante genera instancias legítimas para la descarga de malware, por medio de “cmd.exe” o Powershell.
- Para lograr la persistencia el atacante instala Cobalt Strike.
- Los investigadores han observado que se utilizan programas de minería de criptomonedas como Lemon Duck, KingMiner y Vollgar.
Mecanismos de prevención y mitigación:
Para mitigar este tipo de ataque en su servidor MS-SQL se recomienda los siguientes pasos:
- Utilizar una contraseña de administrador segura.
- Utilizar un firewall que registre y supervise todas las acciones sospechosas, aplique las actualizaciones de seguridad disponibles y utilice un controlador de acceso a datos para inspeccionar y aplicar políticas en cada operación.
- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red.
- Implementar políticas robustas de Seguridad.
- Actualizar los equipos Microsoft Windows a las últimas versiones.
- Mantener habilitado siempre las funciones de seguridad.
- Disponer de sistemas antispam para correos electrónicos.
- Mantener listas de control de acceso para las unidades mapeadas en la red, restringiendo los privilegios de escritura.
- Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas.
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1155/
- https://asec.ahnlab.com/en/31811/
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1155/
- https://www.sidertia.com/cobalt-strike-el-componente-perfecto-para-los-ciberdelincuentes-ii/
- https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/
- https://www.techradar.com/news/microsoft-sql-servers-hit-by-cobalt-strike-attacks