Microsoft SQL Server’in kullanıldığı ataklar Eylül 2022’de geçen yılın aynı dönemine göre 56 artış gösterdi. Saldırganlar, kurumsal altyapılara erişim elde etmek için halen SQL Server’i hedef alan yaygın bir saldırı biçimini kullanıyor. Bu vakalardan birinin ayrıntıları, Kaspersky’nin yeni Yönetilen Algılama ve Müdahale (Managed Detection and Response) raporunda tahlil edildi.
Microsoft SQL Server, dünya genelinde şirketler ve KOBİ’ler tarafından veritabanı idaresi için kullanılıyor. Kaspersky araştırması, Microsoft SQL Server’ın süreçlerini kullanan saldırılarda bir artış eğilimi olduğunu ortaya koydu. Eylül 2022’de atağa uğrayan SQL sunucularının sayısı geçen yılın tıpkı periyoduna nazaran 56 artarak 3 bini geçti. Kelam konusu hücumlar Kaspersky Endpoint Security for Business ve Managed Detection and Response tarafından muvaffakiyetle tespit edildi.
Saldırıların sayısı geçtiğimiz yıl kademeli olarak artarken, Nisan 2022’den bu yana Temmuz ve Ağustos aylarındaki hafif düşüş haricinde 3 binin üzerinde kaldı.
Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov, şunları söyledi: “Microsoft SQL Server’ın popülerliğine karşın, şirketler bu yazılımla alakalı tehditlere karşı muhafaza sağlamak için kâfi önceliği vermiyor olabilir. Makûs niyetli SQL Server süreçlerini kullanan ataklar uzun müddettir bilinse de, saldırganlar tarafından şirketlerin altyapısına erişim için kullanılmaya devam ediyor.”
Sıradışı bir hadise: PowerShell scriptleri ve .PNG dosyaları
Kaspersky uzmanları, en farklı Yönetilen Algılama ve Karşılık olaylarına odaklanan yeni raporda sunucu ortacısı tarafından yürütülen bir komut zinciri olan Microsoft SQL Server iş yüklerini kullanan bir akına odaklandı.
Soldatov, şu yorumda bulundu: “Söz konusu olayda saldırganlar, PowerShell aracılığıyla makûs maksatlı yazılımları çalıştırmak için sunucu yapılandırmasını değiştirmeye çalıştı. Güvenliği ihlal edilmiş SQL Server, harici IP adreslerine irtibat oluşturan berbat gayeli PowerShell komut belgelerini çalıştırmaya çalışıyordu. Bu PowerShell scripti, PurpleFox berbat hedefli yazılımının davranışına çok benzeyen ‘MsiMake’ atfını kullanarak IP adresinde .png evrakları formunda gizlenen makûs hedefli yazılımı çalıştırıyordu.”
Yönetilen Algılama ve Cevap raporunun tamamını okumak için Securelist adresini ziyaret edebilirsiniz.
Kaspersky araştırmacıları, işletmelerin kendilerini maksat alan tehditlerden korunmak için aşağıdaki tedbirleri almasını tavsiye ediyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları aktüel tutun. Yeni güvenlik açıklarından korunmak için yamaları mümkün olan en kısa müddette yükleyin. Böylelikle tehdit aktörleri güvenlik açıklarını berbata kullanamaz.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini takip edin.
- Bilinen ve bilinmeyen tehditlere karşı tesirli muhafaza için davranışa dayalı algılama ve anomali kontrol yetenekleriyle donatılmış Kaspersky Endpoint Security for Business üzere muteber bir uç nokta güvenlik tahlili kulanın.
- Özel güvenlik hizmetleri, yüksek profilli hücumlarla gayrette yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan evvel müsaadesiz girişleri erken etaplarında tespit etmeye ve durdurmaya yardımcı olur. Kaspersky Incident Response hizmeti, bir taarruzla müsabakanız durumunda karşılık vermenize ve sonuçları en aza indirmenize, bilhassa güvenliği ihlal edilmiş düğümleri belirlemenize ve altyapınızı gelecekte benzeri akınlardan korumanıza yardımcı olur.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
