พบ Microsoft SQL Servers โดนวาง Backdoor หลายพันเครื่องต่อวัน

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ทีมนักวิจัยด้านความปลอดภัยจาก Guardicore Labs รายงาน พบแคมเปญการโจมตีที่ชื่อ Vollgar เป้าหมายคือ เครื่องคอมพิวเตอร์ที่ใช้ Microsoft SQL (MSSQL) Server และมีเครื่องที่โดนโจมตีแล้วกว่า 2-3 พันเครื่อง โดยแฮกเกอร์จะใช้การ brute-force รหัสผ่านของบริการ SQL Server หากเครื่องใดมีการตั้งค่ารหัสผ่านที่เดาได้ง่าย ก็จะสามารถล็อกอินเข้าไปแก้ไขการตั้งค่า SQL Server ในเครื่องนั้นได้ โดยหนึ่งในการตั้งค่าที่แฮกเกอร์ต้องการแก้ไขคือเปิดใช้งานฟีเจอร์ xp_cmdshell เพื่อส่งคำสั่งของระบบปฏิบัติการเข้าไปประมวลผลผ่านทาง SQL Server เมื่อแฮกเกอร์สามารถเข้ามาในระบบแล้วก็จะฝังมัลแวร์ประเภท Backdoor เพื่อควบคุมเครื่องและจะสร้างความเสียหายให้กับระบบ เช่น ติดตั้งมัลแวร์อันตราย เพิ่มผู้ใช้ใหม่ที่มีสิทธิ์ในระดับเป็นผู้ดูแลระบบ ซึ่งมัลแวร์ที่นักวิจัยฯ พบคือ มัลแวร์ขุดเงินดิจิทัล หรือ Cryptominers และ RATs (Remote access Trojans)

เป้าหมายส่วนใหญ่ในการโจมตีมักจะเป็นมุ่งเป็นกลุ่มธุรกิจ เช่น อุตสาหกรรมด้านสุขภาพ อุตสาหกรรมการบิน , IT , การสื่อสาร และ สถาบันการศึกษาขนาดใหญ่ ในประเทศต่าง ๆ เช่น จีน อินเดีย สหรัฐฯ เกาหลีใต้และตุรกี ฯลฯ  ทาง Guardicore Labs ได้ออกเครื่องมือสำหรับใช้ตรวจสอบว่าเครื่อง Server ตกเป็นเหยื่อของแคมเปญ Vollgar หรือไม่ (เครื่องมือเป็น Script PowerShell) โดยดาวน์โหลดได้จาก   (ก่อนนำเครื่องมือ ไปใช้งาน ควรตรวจสอบรายการทำงานอย่างละเอียดของเครื่องมือเหล่าก่อนทุกครั้ง)

สำหรับข้อแนะนำเบื้องต้นในการป้องกันขั้นพื้นฐานก็คือ ผู้ดูแลระบบควรตั้งค่ารหัสผ่านของ Microsoft SQL Server หรือระบบใด ๆ ที่ดูแลอยู่ ให้คาดเดาได้ยาก หมั่นตรวจสอบและเฝ้าระวังกรณีที่มีการล็อกอินแบบผิดปกติหลาย ๆ ครั้ง และหากเป็นไปได้ไม่ควรเปิดให้สามารถล็อกอินเข้ามายัง Microsoft SQL Server ได้จากทางอินเทอร์เน็ต

ที่มา:
https://www.bleepingcomputer.com/news/security/hacker-group-backdoors-thousands-of-microsoft-sql-servers-daily/
https://www.thaicert.or.th/newsbite/2020-04-02-01.html

บทความที่เกี่ยวข้อง