هشدار در خصوص گسترش حملات دسترسی غیرمجاز بر روی سرویس دهندههای MS SQL SERVER از مبدا داخل کشور
پیرو هشدار قبلی در خصوص افزایش حملات به سرویس دهندههای SQL Server بر روی پورت ۱۴۳۳، نتایج رصد حسگرهای این مرکز نشان دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آنها به عنوان مهاجمین جدید در این حملات است. با بررسی نمودارهای روند مشخص میشود که در دو ماه اخیر دو پیک حمله بر روی این پورت توسط سنسورهای مرکز ماهر ثبت شده است. اولین پیک حمله در اوایل شهریور ماه ثبت شده که در نمودار(1) در نقطه A قابل مشاهده است، حملات این نقطه حجم کمتری نسبت به حملات نقطه B در اواخر مهر و اوایل آبان ماه دارد. همچنین با بررسی نمودار(2) دو پیک C و D در نقاط زمانی مشابه نمودار قبل قابل مشاهده است. با بررسی این نمودار مشخص میشود که تعداد حملات در نقطه D به طرز چشمگیری نسبت به نقطه C افزایش پیدا کرده است. این موضوع نشاندهنده ایجاد آلودگی بیشتر بر روی سیستمهای داخل کشور است. در این حمله مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم میکند. در ادامه مهاجم با ایجاد برخی Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش میتوانند هر نوع بدافزاری باشند. مهاجم با این حمله گسترده در پی یافتن سیستمهای آسیبپذیر در شبکههای مختلف همچون سرورهای دارای گذرواژه ضعیف است. برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه میشود: - از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید. - از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید. - در صورتی که SQL Server شما در معرض اینترنت قراد داشته است علاوه بر اطلاعات فوق لازم است: - فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شدهی احتمالی توسط مهاجمین بررسی کنید. - با توجه به احتمال آلودگی، بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید. برای بررسی دقیقتر این گزارش در منوی سمت چپ به منبع مراجعه شود.