Aanvallen met Microsoft SQL Server zijn in september 2022 wereldwijd met 56% gestegen ten opzichte van dezelfde periode vorig jaar. Daders maken nog steeds gebruik van een veel voorkomende aanval. Criminelen gebruiken SQL Server om te proberen toegang te krijgen tot bedrijfsinfrastructuren. De technische details van een van deze incidenten zijn geanalyseerd in het nieuwe Managed Detection and Response-rapport van Kaspersky.
Wereldwijd gebruiken zowel grote bedrijven als middelgrote en kleine ondernemingen voor databasebeheer Microsoft SQL Server. Onderzoekers van Kaspersky ontdekten een toename van aanvallen die gebruikmaken van de processen van Microsoft SQL Server. In september 2022 ging het om meer dan 3.000 getroffen SQL-servers. Dit is een groei van 56% ten opzichte van dezelfde periode vorig jaar.
Geleidelijke toename
Het aantal van deze aanvallen nam het afgelopen jaar geleidelijk toe en bleef sinds april 2022 boven de 3.000. Dit, met uitzondering van een lichte daling in juli en augustus.
Ondanks de populariteit van Microsoft SQL Server geven bedrijven mogelijk onvoldoende prioriteit aan de bescherming tegen bedreigingen die met de software samenhangen. Aanvallen met kwaadaardige SQL Server-taken zijn al lang bekend, maar daders gebruiken het nog steeds om toegang te krijgen tot de infrastructuur van een bedrijf.
PowerShell-scripts en .PNG-bestanden
“Aanvallers probeerden de serverconfiguratie te wijzigen om toegang te krijgen tot de shell om malware uit te voeren via PowerShell. De gecompromitteerde SQL Server probeerde kwaadaardige PowerShell-scripts uit te voeren die een verbinding met externe IP-adressen genereerden. Dit PowerShell-script voert de malware vermomd als .png-bestanden uit vanaf dat externe IP-adres met behulp van het “MsiMake”-attribuut, wat erg lijkt op het gedrag van PurpleFox-malware”, leggen de analisten uit.
Bedrijven kunnen zich beschermen tegen dergelijke bedreigingen door onder andere software altijd bij te werken op alle apparaten die worden gebruikt. Zo voorkomen ze dat aanvallers het netwerk infiltreren door gebruik te maken van kwetsbaarheden. Installeer patches voor nieuwe kwetsbaarheden daarom zo snel mogelijk. Wanneer deze zijn gedownload, kunnen bedreigingen geen misbruik meer maken van de kwetsbaarheid. Daarnaast loont het ook om de laatste Threat Intelligence-informatie te gebruiken om op de hoogte te zijn van de tactieken, technieken en procedures die door bedreigingsactoren worden gebruikt.
