サイバーニュース.jp

世界のサイバーなニュースを配信

脅威アクターがMS-SQLサーバーを悪用しXiebroC2フレームワークを展開

カテゴリ:

, , , , , , , , ,

概要

管理が不十分なMS-SQLサーバーを標的とした攻撃が急増しており、オープンソースのコマンド&コントロール(C2)フレームワークであるXiebroC2の展開に至っています。XiebroC2は、Cobalt Strikeのような正規のツールと同様の機能を持ち、情報収集、リモート制御、防御回避の能力を提供するため、脅威アクターにとって費用対効果の高い侵入プラットフォームとして魅力的です。

攻撃の詳細

確認されたインシデントの一つでは、攻撃者は公開されているMS-SQLサーバーの認証情報を悪用して不正アクセスを獲得しました。脆弱なパスワードやデフォルトアカウントのパスワードをブルートフォース攻撃で突破した後、侵入者はMS-SQLの侵害に共通する一連のペイロード展開を実行し、主に仮想通貨マイナーを配布しました。

認証後、脅威アクターはJuicyPotatoを投入しました。これは、実行中のMS-SQLプロセスのトークン内の特定のWindows特権を悪用する特権昇格ユーティリティです。AhnLab Security Intelligence Center (ASEC) の研究者によると、SQL Serverサービス自体はデフォルトで低特権アカウントで動作しますが、JuicyPotatoにより攻撃者はSYSTEM権限に昇格することができました。

XiebroC2の展開

MS-SQLサービスがXiebroC2をダウンロードした証拠はサーバーログに記録されており、PowerShellのInvoke-WebRequest関数がHTTP経由でXiebroC2ペイロードをプルしていることが示されています。この一連の動作は、堅牢な認証情報ポリシーやネットワークレベルのアクセス制御がない公開データベースサーバーが抱える重大なリスクを浮き彫りにしています。SYSTEM権限を確保した後、攻撃者はPowerShellコマンドを実行し、XiebroC2をGitHubリポジトリから直接取得してインストールしました。

XiebroC2フレームワークの機能

XiebroC2のインプラントコンポーネント(コアとなるバックドア機能)はGo言語で書かれており、Windows、Linux、macOSシステム向けのクロスプラットフォームサポートを提供します。展開されると、インプラントは攻撃者のC2サーバーへの接続を開始し、事前設定されたAESキーを使用して認証を行い、コマンドを待ちます。一般的な機能には以下が含まれます:

  • リバースシェルアクセス
  • ファイルおよびプロセス管理
  • ネットワーク監視とパケットキャプチャ
  • リバースプロキシトンネリング
  • スクリーンショットキャプチャ

実行時、XiebroC2はプロセスID (PID)、ハードウェアID (HWID)、コンピューター名、ユーザー名などの環境情報を収集し、C2サーバーに透過的に接続して侵害されたホストを登録します。ASECが監視したインシデントでは、設定パラメーターは以下の通りでした:

  • HostPort: 1.94.185[.]235:8433
  • Protocol: Session/Reverse_Ws
  • ListenerName: test2
  • AesKey: QWERt_CSDMAHUATW

これらの値により、インプラントはTCP上で永続的な暗号化されたWebSocketセッションを確立し、ネットワークの中断があっても回復力のある双方向通信を提供しました。接続が確立されると、攻撃者は任意のコマンドを実行したり、追加のペイロードを展開したりして、さらなるラテラルムーブメントやデータ窃取のための足場を固めることができます。

緩和策

組織は、このような攻撃から保護するために以下の対策を講じる必要があります:

  • 強力な認証ポリシーの実施: 管理者は、MS-SQLサーバー上の脆弱な認証情報やデフォルトの認証情報を無効にする必要があります。複雑でユニークなパスワードを実装し、アカウントロックアウトポリシーを有効にすることで、ブルートフォース攻撃や辞書攻撃の成功率を大幅に低下させます。
  • 公開露出の制限: MS-SQLインスタンスはインターネットから直接アクセスできないようにすべきです。ネットワークセグメンテーションとファイアウォールルールを適用し、データベースアクセスを許可されたアプリケーションサーバーまたはVPNエンドポイントのみに制限します。
  • パッチとアップデート: MS-SQLサービスを実行しているすべてのエンドポイントが完全にパッチ適用され、最新のセキュリティアップデートが実行されていることを確認します。サービスホストプロセスの脆弱性は、初期の侵害や特権昇格を容易にする可能性があります。
  • 監視とアラート: 異常なログイン試行、予期せぬ特権昇格ツール(例: JuicyPotato)の実行、および異常なアウトバウンドネットワーク接続(特に未知の外部IPアドレスや一般的でないポートへの接続)を検出できる侵入検知システムを展開します。
  • エンドポイント保護: 最新のマルウェア対策ソリューションを利用して、JuicyPotatoやC2フレームワークコンポーネントなどの既知のツールを検出および隔離します。行動分析は、偵察活動やラテラルムーブメント活動の早期警告を提供できます。

ASECはデータベースサーバーを標的とする新たな脅威を監視し続けており、組織に多層防御(defense-in-depth)のアプローチを採用するよう強く求めています。認証メカニズムの保護、最新のパッチの維持、ネットワークアクセスの制限を怠ると、繰り返しの感染や重要なインフラストラクチャの侵害につながる可能性があります。今日の予防措置が、明日の高度な侵入フレームワークに対する防御となります。

元記事: https://gbhackers.com/ms-sql-servers-xiebroc2-framework/

投稿をさらに読み込む