ไมโครซอฟท์ประการเตือนพบการโจมตีแบบ Brute Force ที่พุ่งเป้าไปที่เซิร์ฟเวอร์ฐานข้อมูล Microsoft SQL (MSSQL) ที่ต่อออกอินเทอร์เน็ต และไม่ได้รักษาความปลอดภัยเพียงพอ โดยเฉพาะตัวที่ยังใช้รหัสผ่านที่เดาง่ายอยู่
แม้ครั้งนี้จะไม่ใช่ครั้งแรกที่พบการโจมตีเซิร์ฟเวอร์ MSSQL แต่ครั้งนี้ผู้ที่อยู่เบื้องหลังได้มีการใช้ทูล SQLPS ที่ถูกต้องอย่าง LOLBin (living-off-the-land binary) ในการรันคำสั่ง cmdlet บนพาวเวอร์เชลล์สำหรับจัดการตัวเซิร์ฟเวอร์ SQL ด้วย ทำให้หลบเลี่ยงได้ยาก
ทีมงาน Microsoft Security Intelligence เผยข้อมูลเพิ่มเติมว่า “ผู้โจมตีพยายามหลบอยู่ในระบบแบบไฟร์เลสด้วยการแฝงอยู่ในยูทิลิตี้ sqlps.exe ซึ่งเป็นตัวแรปเปอร์ของพาวเวอร์เชลล์สำหรับรันคำสั่งของ SQL โดยเฉพาะ เพื่อทำการสำรวจข้อมูลเป้าหมาย
“นอกจากนี้ผู้โจมตียังใช้ sqlps.exe สร้างบัญชีผู้ใช้ใหม่พร้อมเพิ่มบทบาทเป็น sysadmin ทำให้มีอำนาจเต็มในการควบคุมเซิร์ฟเวอร์ SQL จากนั้นจึงเรียกหาความสามารถอื่นเพิ่มเติมไปเรื่อยๆ เช่น การติดตั้งเปย์โหลดข้อมูลอื่นอย่างตัวขุดเหมืองบิทคอยน์”
อ่านเพิ่มเติมที่นี่ – Bleepingcomputer
//////////////////
