Jakarta | EGINDO.co Pengawat ancaman siber telah mengamati adanya gelombang serangan baru yang menggunakan serangan Cobalt Strike pada Microsoft SQL Server. Kelemahan ini memungkinkan penyerang masuk kedalam sistem basis data (database) dan mengeksekusi malware yang menyebabkan kerusakan semakin besar.
MS-SQL Server adalah sistem manajemen basis data populer yang digunakan dibanyak aplikasi terutama aplikasi yang berasal dari perusahaan Microsoft.
Server yang diserang adalah server yang menggunakan kata kunci (password) yang lemah, tidak komplek dan ada dalam kamus kata sandi. Kamus kata sandi adalah data yang berisi jutaan kata sandi yang dikumpulkan menjadi satu file.
Langkah yang diambil oleh peretas, pelaku menggunakan aplikasi memindai dengan mencari port TCP 1433, yang kemungkinan besar merupakan server MS-SQL yang dapat diakses dari publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.
Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat adanya serangan kepada beberapa server penambang kripto seperti Lemon Duck, KingMiner, dan Vollgar.
Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi. Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang.
Cobalt Strike adalah alat pengujian (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.
Aplikasi ini dapat dibeli dengan harga $3.500 (sekitar Rp 50.226.050,-) per lisensi. Awalnya aplikasi ini dimaksudkan untuk membantu pakar keamanan siber dan tim uji server untuk mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sistem keamanan siber mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.
Alasan mengapa peretas menggunakan aplikasi ini karena kemampuannya untuk :
- Eksekusi perintah
- Pencatatan kunci
- Operasi file
- Proksi SOCKS
- Peningkatan hak istimewa
- Mimikatz (mencuri kredensial)
- Pemindaian port
Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan tidak terdeteksi, terutama dalam sistem yang dikelola dengan buruk.
Data dari AhnLab menunjukkan bahwa semua URL unduhan dan URL server C2 yang mendukung gelombang serangan baru-baru ini mengarah ke penyerang yang sama.
Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.
AW / Bleeping Computer