Microsoft SQL Server’in kullanıldığı taarruzlar Eylül 2022’de geçen yılın tıpkı periyoduna nazaran 56 artış gösterdi. Saldırganlar, kurumsal altyapılara erişim elde etmek için hala SQL Server’i amaç Meydan yaygın bir atak biçimini kullanıyor. Bu olaylardan birinin detayları, Kaspersky’nin yeni Yönetilen Algılama ve Müdahale (Managed Detection and Response) raporunda tahlil edildi.
Microsoft SQL Server, dünya genelinde şirketler ve KOBİ’ler tarafından veritabanı idaresi için kullanılıyor. Kaspersky araştırması, Microsoft SQL Server’ın süreçlerini kullanan akınlarda bir artış eğilimi olduğunu ortaya koydu. Eylül 2022’de taarruza uğrayan SQL sunucularının sayısı geçen yılın tıpkı periyoduna nazaran 56 artarak 3 bini geçti. Laf konusu hücumlar Kaspersky Endpoint Security for Business ve Managed Detection and Response tarafından muvaffakiyetle tespit edildi.
Saldırıların sayısı geçtiğimiz Yıl kademeli olarak artarken, Nisan 2022’den bu yana Temmuz ve Ağustos aylarındaki hafif düşüş haricinde 3 binin üzerinde kaldı.
Kaspersky Emniyet Operasyonları Merkezi Lideri Sergey Soldatov, şunları söyledi: “Microsoft SQL Server’ın popülerliğine karşın, şirketler bu yazılımla bağlantılı tehditlere karşı muhafaza sağlamak için kâfi önceliği vermiyor olabilir. Üzücü niyetli SQL Server süreçlerini kullanan hücumlar uzun müddettir bilinse de, saldırganlar tarafından şirketlerin altyapısına erişim için kullanılmaya devam ediyor.”
Sıradışı bir hadise: PowerShell scriptleri ve .PNG dosyaları
Kaspersky uzmanları, en Farklı Yönetilen Algılama ve Karşılık olaylarına odaklanan yeni raporda sunucu ortacısı tarafından yürütülen bir komut zinciri olan Microsoft SQL Server Amel yüklerini kullanan bir atağa odaklandı.
Soldatov, şu yorumda bulundu: “Söz konusu olayda saldırganlar, PowerShell aracılığıyla Kötü gayeli yazılımları çalıştırmak için sunucu yapılandırmasını değiştirmeye çalıştı. Güvenliği ihlal edilmiş SQL Server, harici IP adreslerine ilişki oluşturan Üzücü gayeli PowerShell komut belgelerini çalıştırmaya çalışıyordu. Bu PowerShell scripti, PurpleFox Üzücü maksatlı yazılımının davranışına Fazla benzeyen ‘MsiMake’ atfını kullanarak IP adresinde .png belgeleri formunda gizlenen Kötü maksatlı yazılımı çalıştırıyordu.”
Yönetilen Algılama ve Cevap raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Kaspersky araştırmacıları, işletmelerin kendilerini amaç Meydan tehditlerden korunmak için aşağıdaki tedbirleri almasını tavsiye ediyor:
- Saldırganların Emniyet açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız bütün aygıtlarda yazılımları şimdiki tutun. Yeni Emniyet açıklarından korunmak için yamaları Muhtemel olan en kısa müddette yükleyin. Böylelikle tehdit aktörleri Emniyet açıklarını berbata kullanamaz.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en nihayet Tehdit İstihbaratı bilgilerini takip edin.
- Bilinen ve bilinmeyen tehditlere karşı tesirli müdafaa için davranışa dayalı algılama ve anomali kontrol yetenekleriyle donatılmış Kaspersky Endpoint Security for Business üzere sağlam bir uç nokta Emniyet tahlili kulanın.
- Özel Emniyet hizmetleri, yüksek profilli ataklarla gayrette Yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan Evvel müsaadesiz girişleri erken etaplarında tespit etmeye ve durdurmaya Yardımcı olur. Kaspersky Incident Response hizmeti, bir atakla müsabakanız durumunda Karşılık vermenize ve sonuçları en üye indirmenize, Özellikle güvenliği ihlal edilmiş düğümleri belirlemenize ve altyapınızı gelecekte misal taarruzlardan korumanıza Yardımcı olur.
Kaynak: (BYZHA) – ak Haber Ajansı