هشدار در خصوص گسترش حملات دسترسی غیرمجاز بر روی سرویس دهنده‌های MS SQL SERVER از مبدا داخل کشور

هشدار در خصوص گسترش حملات دسترسی غیرمجاز بر روی سرویس دهنده‌های MS SQL SERVER از مبدا داخل کشور

پیرو هشدار قبلی در خصوص افزایش حملات به سرویس دهنده‌های ‫SQL Server بر روی ‫پورت ۱۴۳۳، نتایج رصد حسگرهای این مرکز نشان‌ دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آنها به عنوان مهاجمین جدید در این حملات است. با بررسی نمودارهای روند مشخص می‌شود که در دو ماه اخیر دو پیک حمله بر روی این پورت توسط سنسورهای مرکز ماهر ثبت شده است. اولین پیک حمله در اوایل شهریور ماه ثبت شده که در نمودار(1) در نقطه A قابل مشاهده است، حملات این نقطه حجم کمتری نسبت به حملات نقطه B در اواخر مهر و اوایل آبان ماه دارد. همچنین با بررسی نمودار(2) دو پیک C و D در نقاط زمانی مشابه نمودار قبل قابل مشاهده است. با بررسی این نمودار مشخص می‌شود که تعداد حملات در نقطه D به طرز چشمگیری نسبت به نقطه C افزایش پیدا کرده است. این موضوع نشاندهنده ایجاد آلودگی بیشتر بر روی سیستمهای داخل کشور است. در این حمله مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم می‌کند. در ادامه مهاجم با ایجاد برخی ‌ Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش می‌توانند هر نوع بدافزاری باشند. مهاجم با این حمله گسترده در پی یافتن سیستم‌های آسیب‌پذیر در شبکه‌های مختلف همچون سرورهای دارای گذرواژه ضعیف است. برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه می‌شود: - از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید. - از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید. - در صورتی که SQL Server شما در معرض اینترنت قراد داشته است علاوه بر اطلاعات فوق لازم است: - فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید. - با توجه به احتمال آلودگی،‌ بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید. برای بررسی دقیقتر این گزارش در منوی سمت چپ به منبع مراجعه شود.