Cobalt Strike: MSSQL-Server und damit JTL-Wawi-Datenbank gefährdet
Es kam wie es kommen musste, der Microsoft SQL Server wird derzeit von 3 unterschiedlichen Gruppen ins Visier genommen. Zunächst führen die Angreifer einen Scan auf einen vorhandenen MSSQL-Server durch und danach einen Brute-Force-Angriff um diesen zu übernehmen.
Nachdem die Angreifer den Login zum MSSQL-Server geknackt haben, können diese durch diverse Sicherheitslücken wie etwa der umfassenden Möglichkeiten des xp_cmdshell Kommandos Programme und Powershell-Skripte ausführen.
Die Angreifer installieren danach Lemon Duck, KingMiner, oder Vollgar um auf den Systemen Kryptowährungen zu minen.
Zusätzlich installieren die Angreifer gut – vor Sicherheitsprodukten wie Virenscannern – versteckt die Software Cobalt Strike. Cobalt Strike ermöglicht den Angreifern auch noch später einen umfangreichen Zugriff auf das System und das Nachladen von weiteren Programmen.
Es zeigt sich hiermit einmal mehr das Dienste die nicht tatsächlich öffentlich verfügbar sein müssen (wie z. B. ein Webserver für eine Homepage) eben auch nicht öffentlich verfügbar sein sollten. Dies trittft natürlich insbesondere auf den JTL-Datenbank-Server und auch Remotedesktopdienste zu.
Eine detaillierte Analyse zum Thema finden Sie bei den Sicherheitsforschern von AhnLab (externer Link / englisch).
Sehr gerne helfe ich bei der nachträglichen Absicherung Ihres Windows-Servers und Ihres MSSQL-Servers. Sie erreichen mich über mein Kontaktformular.