เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด
รายละเอียดการโจมตี
การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.exe ที่ทำหน้าที่ให้ SQL Server รัน Job หรือ Task ต่างๆโดยเรียกใช้งาน PowerShell ซึ่ง sqlps.exe นี้ จะมาพร้อมกับการติดตั้ง SQL Servers ทุกเวอร์ชัน โดยผู้โจมตีจะเริ่มทำการ Brute Force Attack โจมตีระบบเพื่อวางยูทิลิตี้ sqlps.exe จากนั้นมันจะทำการเรียกใช้งาน PowerShell เพื่อใช้คำสั่ง recon และเปลี่ยนโหมดเริ่มต้นของ SQL Services เป็น LocalSystem นอกจากนี้ยังพบผู้โจมตีใช้โมดูลเดียวกันในการสร้างบัญชีใหม่โดยมีสิทธิ์เทียบเท่า Sysadmin ทำให้สามารถเข้าควบคุม SQL Server ได้อย่างเต็มที่
Microsoft ระบุว่าการโจมตีนี้มีแนวคิดในการทำตัวเองให้เหมือนกับการทำงานของ Task ปกติ บน SQL Server นอกจากนี้ยังไม่มีการวางไฟล์บน Server จึงเป็นการยากที่ AntiVirus จะตรวจพบ
แนวทางการป้องกัน
ผู้ใช้สามารถลดความเสี่ยงของการโจมตีลักษณะนี้โดยกำหนดความซับซ้อนของรหัสผ่านให้มากขึ้น รวมถึงเปิดใช้งาน Multi Factor Authentication (MFA) ในการเข้าใช้งานระบบ
ที่มา : thehackernews.
You must be logged in to post a comment.