{"id":19219,"date":"2022-04-11T20:35:21","date_gmt":"2022-04-11T23:35:21","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19219"},"modified":"2022-04-11T20:35:23","modified_gmt":"2022-04-11T23:35:23","slug":"microsoft-sql-sem-patches-e-hackers-com-cobalt-strike","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/microsoft-sql-sem-patches-e-hackers-com-cobalt-strike\/","title":{"rendered":"Microsoft SQL sem patches e hackers com Cobalt Strike"},"content":{"rendered":"\n

Servidores de banco de dados Microsoft SQL sem patches e hackers com Cobalt Strike<\/span><\/span><\/h1>\n

\u00a0<\/p>\n

Servidores vulner\u00e1veis \u200b\u200bdo Microsoft SQL (MS SQL) voltados para a Internet est\u00e3o sendo alvo de agentes de amea\u00e7as como parte de uma nova campanha para implantar a ferramenta de simula\u00e7\u00e3o de advers\u00e1rios Cobalt Strike em hosts comprometidos.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\u201cOs ataques que visam servidores MSSQL incluem ataques ao ambiente, onde sua vulnerabilidade n\u00e3o foi corrigida, for\u00e7a bruta e <\/span>ataque de dicion\u00e1rio contra servidores mal gerenciados\u201d, <\/span>conforme<\/span> a empresa sul-coreana de seguran\u00e7a cibern\u00e9tica AhnLab Security Emergency Response Center (ASEC) em um relat\u00f3rio publicado na segunda-feira . .<\/span><\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"Microsoft<\/a><\/div>\n

\u00a0<\/p>\n<\/div>\n

Cobalt Strike \u00e9 uma <\/span><\/span>estrutura comercial de teste de penetra\u00e7\u00e3o<\/span><\/span> completa que permite que um invasor implante um agente chamado “Beacon” na m\u00e1quina da v\u00edtima, concedendo ao operador acesso remoto ao sistema. <\/span>Embora anunciado como uma plataforma de simula\u00e7\u00e3o de amea\u00e7as da equipe vermelha, as <\/span>vers\u00f5es crackeadas<\/span> do software t\u00eam sido <\/span>usadas ativamente<\/span> por uma ampla variedade de agentes de amea\u00e7as.<\/span><\/p>\n

\u00a0<\/p>\n

As invas\u00f5es observadas pelo ASEC envolvem o agente n\u00e3o identificado que verifica a porta 1433 para verificar se os servidores MS SQL expostos executam ataques de for\u00e7a bruta ou de dicion\u00e1rio contra a conta do administrador do sistema, ou seja, <\/span><\/span>conta “sa”<\/span><\/span> , para tentar efetuar login.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\"Servidores<\/a><\/div>\n
\u00a0<\/div>\n
\n

Isso n\u00e3o quer dizer que os servidores n\u00e3o acess\u00edveis pela Internet n\u00e3o sejam vulner\u00e1veis, com o agente de amea\u00e7as por tr\u00e1s <\/span><\/span>do malware LemonDuck que<\/span><\/span> escaneia a mesma porta para se mover lateralmente pela rede.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

“Gerenciar as credenciais da conta de administrador para que fiquem vulner\u00e1veis \u200b\u200ba ataques de for\u00e7a bruta e de dicion\u00e1rio como acima ou n\u00e3o alterar as credenciais periodicamente, pode tornar o servidor MS-SQL o principal alvo dos invasores”, conforme os pesquisadores.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Ao ganhar uma posi\u00e7\u00e3o com sucesso, a pr\u00f3xima fase do ataque funciona gerando um shell de comando do Windows por meio do processo MS SQL “<\/span>sqlservr.exe<\/span>” para baixar a carga \u00fatil do pr\u00f3ximo est\u00e1gio que abriga o bin\u00e1rio Cobalt Strike codificado no sistema.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

Os ataques finalmente culminam com o malware decodificando o execut\u00e1vel Cobalt Strike, seguido por injet\u00e1-lo no processo leg\u00edtimo do Microsoft Build Engine (<\/span><\/span>MSBuild<\/span><\/span>), que foi <\/span><\/span>anteriormente abusado<\/span><\/span> por agentes mal-intencionados para entregar trojans de acesso remoto e malware de roubo de senha no alvo de sistemas Windows.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, o Cobalt Strike executado no MSBuild.exe vem com configura\u00e7\u00f5es adicionais para evitar a detec\u00e7\u00e3o de software de seguran\u00e7a. Ele consegue isso carregando “wwanmm.dll”, uma biblioteca do Windows para o Wwan Media Manager e, em seguida, gravando e executando o Beacon na \u00e1rea de mem\u00f3ria da DLL.<\/span><\/p>\n

\u00a0<\/p>\n

“Como o sinalizador que recebe o comando do invasor e executa o comportamento malicioso n\u00e3o existe em uma \u00e1rea de mem\u00f3ria suspeita e, em vez disso opera no m\u00f3dulo normal wwanmm.dll, ele pode ignorar a detec\u00e7\u00e3o baseada em mem\u00f3ria”, observaram os pesquisadores.<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/02\/hackers-backdoor-unpatched-microsoft.html<\/a>\u00a0 (Autor: <\/i>Ravie Lakshmanan<\/span>)<\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Servidores de banco de dados Microsoft SQL sem patches e hackers com Cobalt Strike \u00a0 Servidores vulner\u00e1veis \u200b\u200bdo Microsoft SQL (MS SQL) voltados para a Internet est\u00e3o sendo alvo de agentes de amea\u00e7as como parte de uma nova campanha para implantar a ferramenta de simula\u00e7\u00e3o de advers\u00e1rios Cobalt Strike em hosts comprometidos. \u00a0 \u201cOs ataques […]<\/p>\n","protected":false},"author":2,"featured_media":19224,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19219","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19219","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19219"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19219\/revisions"}],"predecessor-version":[{"id":19225,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19219\/revisions\/19225"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19224"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}