Microsoft SQL Server’in kullanıldığı ataklar Eylül 2022’de geçen yılın tıpkı devrine göre 56 artış gösterdi. Saldırganlar, kurumsal altyapılara erişim elde etmek için hala SQL Server’i gaye alan yaygın bir hücum biçimini kullanıyor. Bu olaylardan birinin detayları, Kaspersky’nin yeni Yönetilen Algılama ve Müdahale (Managed Detection and Response) raporunda tahlil edildi.
Microsoft SQL Server, dünya genelinde şirketler ve KOBİ’ler tarafınca veritabanı idaresi için kullanılıyor. Kaspersky araştırması, Microsoft SQL Server’ın süreçlerini kullanan ataklarda bir artış eğilimi olduğunu ortaya koydu. Eylül 2022’de akına uğrayan SQL sunucularının sayısı geçen yılın tıpkı devrine nazaran 56 artarak 3 bini geçti. Kelam konusu akınlar Kaspersky Endpoint Security for Business ve Managed Detection and Response tarafınca muvaffakiyetle tespit edildi.
Saldırıların sayısı geçtiğimiz yıl kademeli olarak artarken, Nisan 2022’den bu yana Temmuz ve Ağustos aylarındaki yavaşça düşüş dışında 3 binin üzerinde kaldı.
Kaspersky Güvenlik Operasyonları Merkezi Lideri Sergey Soldatov, şunları söylemiş oldu: “Microsoft SQL Server’ın popülerliğine karşın, şirketler bu yazılımla bağlantılı tehditlere karşı muhafaza sağlamak için kâfi önceliği vermiyor olabilir. Makus niyetli SQL Server süreçlerini kullanan taarruzlar uzun müddettir bilinse de, saldırganlar tarafınca şirketlerin altyapısına erişim için kullanılmaya devam ediyor.”
sıra dışı bir hadise: PowerShell scriptleri ve .PNG dosyaları
Kaspersky uzmanları, en enteresan Yönetilen Algılama ve Karşılık olaylarına odaklanan yeni raporda sunucu ortacısı tarafınca yürütülen bir komut zinciri olan Microsoft SQL Server iş yüklerini kullanan bir atağa odaklandı.
Soldatov, şu yorumda bulundu: “Söz konusu olayda saldırganlar, PowerShell aracılığıyla makûs maksatlı yazılımları çalıştırmak için sunucu yapılandırmasını değiştirmeye çalıştı. Güvenliği ihlal edilmiş SQL Server, harici IP adreslerine ilişki oluşturan makûs emelli PowerShell komut evraklarını çalıştırmaya çalışıyordu. Bu PowerShell scripti, PurpleFox berbat gayeli yazılımının davranışına fazlaca benzeyen ‘MsiMake’ atfını kullanarak IP adresinde .png evrakları halinde gizlenen makus maksatlı yazılımı çalıştırıyordu.”
Yönetilen Algılama ve Karşılık raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Kaspersky araştırmacıları, işletmelerin kendilerini gaye alan tehditlerden korunmak için aşağıdaki tedbirleri almasını tavsiye ediyor:
Microsoft SQL Server, dünya genelinde şirketler ve KOBİ’ler tarafınca veritabanı idaresi için kullanılıyor. Kaspersky araştırması, Microsoft SQL Server’ın süreçlerini kullanan ataklarda bir artış eğilimi olduğunu ortaya koydu. Eylül 2022’de akına uğrayan SQL sunucularının sayısı geçen yılın tıpkı devrine nazaran 56 artarak 3 bini geçti. Kelam konusu akınlar Kaspersky Endpoint Security for Business ve Managed Detection and Response tarafınca muvaffakiyetle tespit edildi.
Saldırıların sayısı geçtiğimiz yıl kademeli olarak artarken, Nisan 2022’den bu yana Temmuz ve Ağustos aylarındaki yavaşça düşüş dışında 3 binin üzerinde kaldı.
Kaspersky Güvenlik Operasyonları Merkezi Lideri Sergey Soldatov, şunları söylemiş oldu: “Microsoft SQL Server’ın popülerliğine karşın, şirketler bu yazılımla bağlantılı tehditlere karşı muhafaza sağlamak için kâfi önceliği vermiyor olabilir. Makus niyetli SQL Server süreçlerini kullanan taarruzlar uzun müddettir bilinse de, saldırganlar tarafınca şirketlerin altyapısına erişim için kullanılmaya devam ediyor.”
sıra dışı bir hadise: PowerShell scriptleri ve .PNG dosyaları
Kaspersky uzmanları, en enteresan Yönetilen Algılama ve Karşılık olaylarına odaklanan yeni raporda sunucu ortacısı tarafınca yürütülen bir komut zinciri olan Microsoft SQL Server iş yüklerini kullanan bir atağa odaklandı.
Soldatov, şu yorumda bulundu: “Söz konusu olayda saldırganlar, PowerShell aracılığıyla makûs maksatlı yazılımları çalıştırmak için sunucu yapılandırmasını değiştirmeye çalıştı. Güvenliği ihlal edilmiş SQL Server, harici IP adreslerine ilişki oluşturan makûs emelli PowerShell komut evraklarını çalıştırmaya çalışıyordu. Bu PowerShell scripti, PurpleFox berbat gayeli yazılımının davranışına fazlaca benzeyen ‘MsiMake’ atfını kullanarak IP adresinde .png evrakları halinde gizlenen makus maksatlı yazılımı çalıştırıyordu.”
Yönetilen Algılama ve Karşılık raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Kaspersky araştırmacıları, işletmelerin kendilerini gaye alan tehditlerden korunmak için aşağıdaki tedbirleri almasını tavsiye ediyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları aktüel tutun. Yeni güvenlik açıklarından korunmak için yamaları mümkün olan en kısa müddette yükleyin. bu biçimdece tehdit aktörleri güvenlik açıklarını berbata kullanamaz.
- Tehdit aktörleri tarafınca kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı ayrıntılarını takip edin.
- Bilinen ve bilinmeyen tehditlere karşı tesirli muhafaza için davranışa dayalı algılama ve anomali kontrol yetenekleriyle donatılmış Kaspersky Endpoint Security for Business üzere emniyetli bir uç nokta güvenlik tahlili kulanın.
- Özel güvenlik hizmetleri, yüksek profilli ataklarla uğraşta yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan evvel müsaadesiz girişleri erken kademelerinde tespit etmeye ve durdurmaya yardımcı olur. Kaspersky Incident Response hizmeti, bir taarruzla müsabakanız durumunda cevap vermenize ve sonuçları en aza indirmenize, bilhassa güvenliği ihlal edilmiş düğümleri belirlemenize ve altyapınızı gelecekte misal taarruzlardan korumanıza yardımcı olur.