Microsoft SQL ve MySQL Sunucuları Gh0stCringe Tarafından Hedef Alındı

Bilgisayar korsanları, güvenlik açığı bulunan cihazlara Gh0stCringe isimli uzaktan erişim truva atlarını dağıtmak için güvenliği zayıf Microsoft SQL ve MySQL veritabanı sunucularını hedef alıyor.

Gh0stCringe, diğer adıyla CirenegRAT, en son 2020 Çin siber casusluk operasyonlarında kullanılan, ancak geçmişi 2018’e kadar uzanan Gh0st RAT kötü amaçlı yazılımının bir çeşididir.

Siber güvenlik firması AhnLab tarafından bugün yayınlanan yeni bir raporda, araştırmacılar GhostCringe’in arkasındaki tehdit aktörlerinin, zayıf hesap kimlik bilgilerine sahip ve gözetimsiz, zayıf güvenlikli veritabanı sunucularını nasıl hedeflediklerini özetliyor.

Aşağıda görebileceğiniz gibi, tehdit aktörleri veritabanı sunucularını ihlal ediyor ve kötü amaçlı ‘mcsql.exe’ yürütülebilir dosyasını diske yazmak için mysqld.exe, mysqld-nt.exe ve sqlserver.exe işlemlerini kullanıyor.

AhnLab, yayınladıkları raporda Gh0stCringe’e ek olarak, incelenen sunucularda birden fazla kötü amaçlı yazılım örneğinin varlığının tespit edildiğini belirtiyor. Bu durum rakip tehdit aktörlerinin de kendi saldırıları için bu güvensiz sunucuları hedef aldığını gösteriyor olabilir.

Gh0stCringe

Gh0stCringe RAT, özel komutları almak veya çalınan bilgileri düşmanlara sızdırmak için C2 sunucusuyla bağlantı kuran güçlü bir kötü amaçlı yazılımdır.

Kötü amaçlı yazılımın çalışma aşamaları, aşağıda ayrıntılı olarak açıklandı:

RAT Ayar Verileri

Yukarıdakiler arasında keylogger, güvenliği ihlal edilmiş sistemden kullanıcı girdilerini çaldığı için belki de en agresif bileşen olarak görülebilir.

Anahtar günlüğü bileşeni, sonsuz bir döngü aracılığıyla her anahtarın durumunu sorgulamak için Windows Yoklama yöntemini (GetAsyncKeyState API) kullanır.

Aksi takdirde güvenilir olan bu günlük kaydı yöntemi, şüpheli derecede yüksek CPU kullanımı riskini ortaya çıkarır, ancak kötü yönetilen sunucularda bunun tehdit aktörleri için sorun oluşturması olası değildir.

Kötü amaçlı yazılım ayrıca son üç dakikadaki tuşa basışları izleyecek ve bunları temel sistem ve ağ bilgileriyle birlikte kötü amaçlı yazılımın komut ve kontrol sunucularına gönderecektir.

Kaydedilen bu tuş vuruşları, tehdit aktörlerinin, oturum açmış kullanıcıların cihaza girdiği oturum açma kimlik bilgilerini ve diğer hassas bilgileri çalmasına olanak tanır.

Modlar ve komutlar

CringeRAT, dağıtım sırasında tehdit aktörü tarafından seçilen 0, 1, 2 ve özel bir Windows 10 modu olmak üzere dört çalışma modunu destekler.

Modlar, Windows kayıt defterinin değiştirilmesi ve kendi kendine kopyalama modülünün etkinleştirilmesi yoluyla kalıcılığın nasıl oluşturulacağını yapılandırır. Örneğin, Mod #0 kalıcılık olmadan çalışır, Mod #2 ise kalıcılık kurar ve kendi kendine kopyalama ayarlarını devreye alır.

RAT tarafından desteklenen uzak komutlar aşağıda özetlenmiştir:

Veritabanı sunucuları nasıl güvenli hale getirilir

İlk olarak, bilinen güvenlik açıklarından yararlanan bir dizi saldırıya karşı korunmaya yardımcı olan mevcut en son güvenlik güncellemelerini uygulamak için sunucu yazılımınızı güncelleyin.

Tahmin edilmesi zor veya kaba kuvvet saldırılarına karşı güçlü bir yönetici şifresi kullanmak da önemlidir.

En önemli adım, veritabanı sunucusunu yalnızca yetkili cihazların sunucuya erişmesine izin veren bir güvenlik duvarının arkasına yerleştirmektir.

Son olarak, şüpheli keşif etkinliğini belirlemek için tüm eylemleri izleyin.

Kaynak: bleepingcomputer.com

Diğer Haberler

CRI-O Engine’nindeki Zafiyet Kubernetes Container’larını Saldırılara Karşı Savunmasız Bırakıyor
B1txor20 Linux Botnet DNS Tünel Kullanarak Log4J Zafiyetine Neden Oluyor
Microsoft Defender, Office Güncellemelerini Fidye Yazılımı Saldırısı Olarak Algılıyor

Exit mobile version