Microsoft предупреждает об атаках методом перебора на серверы MSSQL

Microsoft предупреждает об атаках методом перебора на серверы MSSQL. Фото: Pixabay

Компания выпустила предупреждение, объясняющее, как могут быть скомпрометированы базы данных со слабыми паролями.

Из сообщения компании:

«Злоумышленники достигают безфайловой персистентности, создавая утилиту sqlps.exe, оболочку PowerShell для запуска командлетов, созданных SQL, для запуска команд разведки и изменения режима запуска службы SQL на LocalSystem».

Другими словами, злоумышленники используют инструмент sqlps.exe, который является законной программой, а не вредоносной программой, в качестве исполняемого файла Living Off The Land (LOLBin).

Из сообщения компании:

«Злоумышленники также используют sqlps.exe для создания новой учетной записи, которую они добавляют к роли системного администратора, что позволяет им получить полный контроль над сервером SQL . Затем они получают возможность выполнять другие действия, включая развертывание полезных нагрузок, таких как майнеры монет».

Sqlps — это инструмент, который поставляется вместе с Microsoft SQL Server и позволяет пользователям загружать командлеты SQL Server. Bleeping Computer сообщает, что, используя инструмент в качестве LOLBin, злоумышленники могут запускать команды PowerShell, не будучи обнаруженными антивирусными программами или аналогичными решениями для кибербезопасности. 

Более того, этот инструмент практически не оставляет следов, поскольку он обходит ведение журнала блоков сценариев. 

Системные администраторы могут сделать несколько вещей, чтобы защититься от таких атак, в первую очередь — не выставляя сведения в Интернет. В случае, если база данных должна быть подключена к сети, вторым лучшим решением является надежный пароль, который нельзя угадать или подобрать методом грубой силы. Это означает наличие пароля, состоящего не менее чем из восьми символов, как прописных, так и строчных, а также цифр и символов. 

Также админам рекомендуется размещать сервер за брандмауэром.

Наконец, они могут включить ведение журнала и следить за подозрительной или неожиданной активностью или повторяющимися попытками входа в систему. 

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Большинство жертв программ-вымогателей платят и всё равно остаются без данных.
• Отчет о безопасности Kubernetes говорит о недостатке квалификации.
• Простая кибератака до сих пор остается одной из самых эффективных: Касперский.
• Магазины приложений для iOS и Android завалены брошенными приложениями.