Hackerlar, SQL enjeksiyonuna duyarlı SQL sunucularını hedef alarak bulut ortamlarını ele geçirmeye çalışıyor.
Microsoft’ün güvenlik araştırmacıları, bu yan hareket tekniğinin daha önce VM’ler ve Kubernetes küme saldırıları gibi diğer hizmetlere yönelik saldırılarda görüldüğünü bildiriyor.
Ancak bu, SQL Sunucularının bu amaçla kullanıldığını ilk kez gördükleri bir durum.
Microsoft’un gözlemlediği saldırılar, hedefin ortamında bulunan bir uygulamada SQL enjeksiyonu açığından faydalanarak başlıyor.
Bu, tehdit aktörlerinin Azure Sanal Makine üzerinde barındırılan SQL Sunucusu örneğine yükseltilmiş izinlerle SQL komutlarını çalıştırmak ve değerli verileri çıkarmak için erişim elde etmelerini sağlar.
Bu, veritabanları, tablo adları, şemalar, veritabanı sürümleri, ağ yapılandırması ve okuma/yazma/silme izinleri dahil olmak üzere verilere erişimi içerir.
Eğer ele geçirilen uygulama yükseltilmiş izinlere sahipse, saldırganlar ‘xp_cmdshell’ komutunu etkinleştirebilir ve SQL üzerinden işletim sistemi (OS) komutlarını çalıştırarak ana sistemde bir kabuk elde edebilirler.
Saldırganlar tarafından bu aşamada çalıştırılan komutlar şunları içerir:
Dizinleri okuma, işlemleri listeleme ve ağ paylaşımlarını kontrol etme.
Şifrelenmiş ve sıkıştırılmış yürütülebilir dosyaları ve PowerShell komut dosyalarını indirme.
Arka kapı betiğini başlatmak için zamanlanmış bir görev kurma SAM ve SECURITY kayıt defteri anahtarlarını dökerek kullanıcı kimlik bilgilerini alır. ‘Webhook.site’ ücretsiz hizmetini kullanarak HTTP isteği ve e-posta inceleme ve hata ayıklama imkanı sağlayan benzersiz bir yöntemi kullanarak veri dışa aktarma.
Veri dışa aktarma için yasal bir hizmet kullanmak, faaliyetin şüpheli görünmesini veya güvenlik ürünleri tarafından herhangi bir uyarıya neden olmasını daha az olası kılarak saldırganlara ana sistemden veri hırsızlığı yapma fırsatı verir.
Ardından, saldırganlar SQL Sunucusu örneğinin bulut kimliğini kullanarak IMDS (Anlık Meta Veri Hizmeti) erişimini elde etmeye çalıştılar ve bulut kimlik erişim anahtarını aldılar.
Azure’da kaynaklara genellikle diğer bulut kaynakları ve hizmetleri ile kimlik doğrulaması için yönetilen kimlikler atanır. Saldırganlar bu belirteci elinde tutarlarsa, bu belirteci kullanarak kimliğin izinlere sahip olduğu herhangi bir bulut kaynağına erişebilirler.
Microsoft, saldırganların bu tekniği başarılı bir şekilde kullanamadıklarını, ancak bu yaklaşımın geçerli olduğunu ve organizasyonlar için ciddi bir tehdit oluşturduğunu belirtiyor.
Son olarak, tehdit aktörleri indirilen komut dosyalarını ve geçici veritabanı değişikliklerini silerek saldırının izlerini yok ettiler.
Savunma İpuçları
Microsoft, gözlemlenen saldırılarda kullanılan SQL enjeksiyonlarını ve şüpheli SQLCMD etkinliğini tespit etmek için Defender for Cloud ve Defender for Endpoint kullanılmasını öneriyor.
Tehditi azaltmak için Microsoft, kullanıcı izinleri verirken en az ayrıcalık prensibini uygulamayı öneriyor.
Kaynak: bleepingcomputer