microsoft

Istraživači kompanije Kaspersky uočili su porast broja napada koji koriste procese Microsoft SQL servera za pokušaj pristupa kompanijskoj infrastrukturi. U septembru 2022. godine pogođeno je više od 3.000 SQL servera, koje korporacije i mala i srednja preduzeća širom sveta koriste za upravljanje bazama podataka, što je uvećanje od 56 odsto u odnosu na isti period prošle godine.

Kaspersky rešenja Endpoint Security for Business i Managed Detection and Response uspešno su detektovala ove napade. Njihov broj je postepeno rastao tokom prošle godine, a u aprilu 2022. godine brojka je premašivala 3000, da bi u julu i avgustu došlo do blagog pada. Tehnički detalji jednog od ovih incidenata analizirani su u novom MDR izveštaju (Managed Detection and Response).

Uprkos popularnosti Microsoft SQL servera, kompanije ne posvećuju dovoljno pažnje zaštiti od pretnji povezanih sa softverom. Već dugo se zna za napade koji koriste zlonamerne procese na SQL serveru, ali ih počinioci i dalje koriste da bi dobili pristup infrastrukturi kompanije“, rekao je Sergej Soldatov, šef Bezbednosnog operativnog centra kompanije Kaspersky.

Neobičan incident: PowerShell skripte i .PNG datoteke

U novom izveštaju, posvećenom najzanimljivijim MDR incidentima, stručnjaci kompanije Kaspersky opisuju napad koji koristi procese Microsoft SQL servera.

Napadači su pokušali da modifikuju konfiguraciju servera da bi pokrenuli malvera preko PowerShell-a. Kompromitovani SQL server je pokušavao da pokrene zlonamerne PowerShell skripte koje su generisale vezu sa spoljnim IP adresama. Ova PowerShell skripta pokreće malver prerušen u .png datoteke sa eksterne IP adrese koristeći atribut „MsiMake“, što je veoma slično ponašanju PurpleFox malvera“, objasnio je g. Soldatov.

Primer SQL procesa koji sarži zamaskirane PowerShell komande

Ceo MDR izveštaj možete pročitati na blogu Securelist.com.

Za zaštitu od pretnji usmerenih na preduzeća, istraživači kompanije Kaspersky preporučuju sledeće mere:

  • Uvek ažurirajte softver na svim uređajima koje koristite kako biste sprečili napadače da se infiltriraju u vašu mrežu koristeći ranjivosti. Instalirajte odmah ažuriranja za nove ranjivosti, jer nakon toga one više ne mogu biti zloupotrebljene.
  • Koristite najnovije informacije o pretnjama da biste bili u toku sa taktikama, tehnikama i praksama koje koriste napadači.
  • Izaberite pouzdano rešenje za bezbednost krajnjih tačaka kao što je Kaspersky Endpoint Security for Business, koje predstavlja efikasnu zaštitu od poznatih i nepoznatih pretnji.
  • Namenske usluge mogu pomoći u borbi protiv napada visokog profila. Usluga Kaspersky Managed Detection and Response može pomoći u identifikaciji i zaustavljanju upada u ranim fazama, pre nego što počinioci ostvare svoje ciljeve. Ako se suočite sa incidentom, usluga Kaspersky Incident Response će vam pomoći da reagujete i umanjite posledice na najmanju meru, konkretno – da identifikujete kompromitovane čvorove i zaštitite infrastrukturu od sličnih napada u budućnosti.


Omogućite notifikacije OK Ne, hvala