Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している

Microsoft warns of brute-force attacks targeting MSSQL servers

2022/05/18 BleepingComputer — Microsoft は、インターネットに公開され、セキュリティが不十分な Microsoft SQL Server (MSSQL) データベース・サーバーを標的とした、脆弱なパスワードに対するブルートフォース攻撃について警告を発した。このような攻撃で MSSQL サーバーが標的にされるのは、必ずしも初めてのことではないが、最近に観測された今回のキャンペーンの背後にいる脅威アクターは、SQL Server PowerShell コマンドレットを実行するための LOLBin (living-off-the-land binary) として、正規の SQLPS ツールを使用していると、Microsoft は指摘している。

Microsoft Security Intelligence チームは、「攻撃者は、SQL 組み込みのコマンドレットを実行するための PowerShell ラッパーである、sqlps.exe ユーティリティを生成して、偵察コマンドを実行し、SQL サービスの開始モードを LocalSystem に変更することで、ファイル・レスでの持続性を実現している。さらに、sqlps.exe を使用して新しいアカウントを作成し、それを sysadmin ロールに追加して、SQL サーバーを完全に制御できるようにする。そして、コイン・マイナーのようなペイロード展開などを含む、他のアクションを実行する能力を獲得する」と説明している。

Microsoft SQL Server のインストールに含まれる、SQL Server PowerShell コマンドレットをロードする、ユーティリティである SQLPS を LOLBin として使用すると、攻撃者は悪意の行動の検出を心配することなく、PowerShell コマンドを実行できる。また、SQLPS を使用することで、Windows イベントログにコマンドレット操作を記録する、PowerShell の Script Block Logging 機能を回避できるため、攻撃の痕跡を消し去ることも可能になる。

Microsoft MSSQL brute-force attacks

MSSQL サーバーに対する同様の攻撃は、2022年3月にも報告されているが、そのときには Gh0stCringe (別名 CirenegRAT) RAT (remote access trojans) を展開するために、MSSQL サーバーが標的にされていた。2022年2月に行われたキャンペーンでは、脅威者は Microsoft SQL xp_cmdshell コマンドを使用して、Cobalt Strike ビーコンをドロップするために、MSSQL サーバーを侵害している。

何年もの長期間にわたり MSSQL サーバーは、悪意の脅威アクターたちの最終目標のために、大量の脆弱なサーバーをハイジャックしようとする、大規模なキャンペーンの一部として狙われてきた。このような一連の攻撃 (Vollgarと呼ばれる) は約2年にわたり実施され、脅威アクターたちは、インターネット上に公開されたサーバーをブルートフォースで侵害した後に、RAT により 2000~3000台 のサーバーにバックドアを仕掛け、Monero (XMR) および Vollar (VDS) 暗号をマイニングしてきた。

このような攻撃から MSSQL サーバーを守る、管理者に対して推奨されるのは、サーバーをインターネットに公開しないこと、推測されずブルートフォースされない強固な管理者パスワードを使用すること、サーバーをファイアウォールの背後に設置することである。

また、次のことも重要である。

  • 不審な行動や、予期せぬ行動、そして、繰り返し行われるログイン試行を監視するために、ロギングを有効にする。
  • 最新のセキュリティ・アップデートを適用し、攻撃対象領域を減らし、既知の脆弱性を狙った攻撃をブロックする。

オンプレのデータベースの安全性に関する記事としては、2021年9月15日の「オンプレ・データベース:企業の 50% が深刻な脆弱性を放置している」があり、ブルートフォースに関しては、9月14日の「ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?」があります。また、5月13日には「BLACK HAT ASIA 2022 での発表:SQL クエリーの変換により WAF バイパスが可能になる」という記事もありました。

%d bloggers like this: