SQL Server Ransomware Attacks: How They Work and How to Harden Your Database

概要

SQL Serverのランサムウェア攻撃は、初期アクセスからランサムウェア展開まで、防御が欠けている場合や脆弱性が高い状況では数十分で行われることがあります。この記事では、攻撃者がどのようにSQLサーバーに侵入し、データベースを暗号化するかを説明します。

攻撃者は通常、TCP 1433ポートが公開されている場合や脆弱な認証を通じてSQLサーバーにアクセスします。その後、攻撃者はxp_cmdshellなどの機能を有効化し、OSレベルのコマンド実行を行います。

バックアップが侵入されたホストから隔離されていない場合やテストが行われていない場合、バックアップは役に立たない可能性があります。バックアップを安全に保つためには、バックアップを別のサーバーまたはネットワーク上に配置し、定期的に復元テストを行うことが重要です。

SQL Serverのランサムウェア攻撃に対する最高の防御は、公開アクセスをブロックすること、権限を制限すること、危険な機能を無効にすること、および設定変更を監視することです。

攻撃者はSQLアクセスからOSレベルのアクセスへと迅速に移行します。その後、ステージング、側面への展開、暗号化が行われます。

1. 公開アクセスをブロックする: TCP 1433ポートへの公開アクセスは避けるべきです。
2. saアカウントを無効にする: SQLサーバーのsaアカウントは、攻撃者にとって重要なターゲットとなります。
3. Windows認証を使用する: ブラーフォース攻撃に対するリスクを低減します。
4. SQLログインのパスワードポリシーを強制する
5. sysadminメンバーシップを監査する: サーバー全体に権限を持つユーザーは、攻撃者にとって重要なターゲットとなります。
6. xp_cmdshellを無効にする
7. CLRとOLE Automationを無効化する: 攻撃者がこれらの機能を利用して悪用する可能性があります。
8. SQL Serverサービスアカウントをレビューする: サービスアカウントが過剰な権限を持っている場合、攻撃者はそれを利用して更なる侵害を行う可能性があります。
9. リンクドサーバーとエージェントジョブをレビューする
10. セキュリティ監査とログ記録を有効にする: 不正な設定や攻撃者の変更を早期に検出します。

バックアップが侵入されたホストから隔離されていない場合、攻撃者はバックアップファイルを削除または暗号化する可能性があります。そのため、バックアップは別のサーバーまたはネットワーク上に配置し、定期的に復元テストを行うことが重要です。

攻撃者がランサムウェアを展開する前に、xp_cmdshellの有効化や特定のSQLコマンドの実行が検出される可能性があります。これらのシグナルは、他のホストレベルのテレメトリと組み合わせて使用することで、より効果的な検出を行うことができます。

チェックリストは明らかにリスクを削減しますが、既存の環境での例外や権限の拡大など、成熟した環境では盲点があります。これらの問題に対処するためには、継続的なモニタリングと迅速な対応が必要です。

元記事: https://gbhackers.com/sql-server-ransomware-attacks-how-they-work-and-how-to-harden-your-database/