Servidores Microsoft SQL vulnerables a Cobalt Strike

Investigadores de Corea del Sur han identificado una nueva y reciente explotación de servidores Microsoft SQL server utilizada como acceso inicial, que permite ganar persistencia mediante el despliegue de Cobalt Strike dentro de la red, para posteriormente  monetizar los ataques con la ejecución de criptomineros.

Servidores MS SQL 

Investigadores de corea del sur han identificado un nuevo método de acceso inicial mediante la explotación por fuerza bruta o por ataques de diccionario a servidores MS SQL Server (puerto 1433), expuestos públicamente que no han sido parchados adecuadamente y/o que cuentan con configuraciones deficientes, brindando el acceso necesario para la ejecución de Beacons/Balizas de Cobalt Strike.

Los Beacons o Balizas brindan acceso a la Shell (CLI) mediante la ejecución de código sin archivos cargados en porciones de memoria de procesos válidos para el sistema y que como mecanismo de evasión de detección nunca es cargado en discos duros/sólidos.

Esta intrusión permite el acceso remoto y control de los equipos infectados, por esta razón  los ciberactores lo han utilizado para monetizar sus ataques sin llevar a cabo extorsión ni secuestro, optando por el despliegue de criptomineros como Lemon Duck, KingMiner y Vollgar.

Si como organización afectada no se cuenta con medidas de seguridad o monitoreo adecuadas, la amenaza podría perdurar por meses o años, causando un incremento en el gasto energético y una disminución considerable en sus capacidades de procesamiento.

Cabe destacar que los ataques son dirigidos principalmente a servidores, los que en gran porcentaje cuentan con una capacidad de procesamiento superior  a los equipos de usuarios finales permitiendo lucrar más rápidamente.

Método de ataque

1. La cadena de ataque inicia con los ciberactores realizando una búsqueda de servidores MS-SQL con el puerto TCP 1433 abierto y expuesto hacia internet.
2. Posterior a esto generan una serie de ataques de fuerza bruta a través de diccionarios preestablecidos, en un intento de descifrar  a través de este método la contraseña.
3. Una vez dentro del servidor MS-SQL, el atacante genera instancias legítimas para la descarga de malware, por medio de cmd . exe o Powershell.
4. Para lograr la persistencia los ciberactores instalan Cobalt Strike, esto posterior a la explotación y la utilizan principalmente para ejecutar los movimientos laterales.
5. Investigadores han observado que se utilizan mineros de criptomonedas como Lemon Duck, KingMiner y Vollgar en este proceso de compromiso.

Ilustración 1. Diccionario de contraseñas utilizado por Lemon Duck

Cobalt-Strike

Creado en 2012 y bajo una licencia de alto costo por usuario, permite la simulación de adversarios y operaciones de Red Team con un enfoque basado en ambientes Windows y diseñado para que con solo este framework se obtengan capacidades de post-explotación que cubren un amplio espectro de tácticas descritas por MITRE ATT&CK. 

Las operaciones con este framework tuvieron un importante crecimiento entre 2019 y 2020 con la aparición de nuevos actores de amenaza del tipo APT y crimeware, poniéndo en evidencia que cada uno de estos frentes requirió una importante inversión para su adquisición y posterior despliegue.

Ilustración 2. Configuración Cobalt Strike

Cobalt Strike que se ejecuta en MSBuild . exe tiene una opción de configuración adicional para omitir la detección de productos de seguridad, donde carga el dll normal wwanmm . dll, luego escribe y ejecuta un Beacon (Baliza) en el área de memoria del dll. Como el Beacon (Baliza) que recibe el comando del atacante y realiza el comportamiento malicioso no existe en un área de memoria sospechosa y en su lugar opera en el módulo normal wwanmm . dll, puede eludir la detección basada en memoria.

Observación:
Entre algunas de las principales características de Cobalt Strike y que ha llevado largo tiempo de análisis a investigadores, se destacan los llamados “Beacon” o “Balizas”, que funcionan como BackDoor en los equipos afectados dentro de la red, permitiendo que se comuniquen entre ellos y recibir órdenes desde servidores C2.

Ilustración 3. Shellcode y cadenas utilizadas para wwanmm . dll

Para mayores antecedentes visitar, Herramientas y frameworks a disposición de ciberdelincuentes.

Operaciones

Las primeras acciones detectadas con este tipo de herramientas datan del año 2012, en ejercicios de Blue y Red Team realizados en diferentes eventos en el mundo. Conocidas sus capacidades, no tardó en ser adquirida por diferentes actores de amenaza con claros objetivos de ataque: sectores del gobierno y militar, financiero, infraestructura crítica, espionaje y distribución de campañas de spear phishing hechas a medida del objetivo. Entre el gran número de actividades donde se ha utilizado Cobalt Strike como agente directo de ataque, se pueden mencionar:

• 2016: FIN7 efectúa ataques a industria bancaria, desplegando  implantes en redes internas.
• 2017: Cobalt Group lanza una campaña contra entidades bancarias, comprometiendo redes de distribución y desarrollo de software para esta industria.
• 2018: TA505 activa una campaña de malspam contra entidades bancarias y particulares.
• 2019: APT41 efectúa operaciones de espionaje contra el gobierno de la India.
• 2019: TA2101 inicia una campaña de espionaje contra el Ministerio Federal de Finanzas de Alemania.
• 2020: TA800 lanza campaña de distribución de malware, por medio de malspam bajo la temática COVID19.
• 2020: compromiso de la cadena de suministro de Solar Winds.
• 2021: TA800 inicia campaña para distribución de NimzaLoader, contra diferentes industrias.
• 2021: Nobelium Group es vinculado con el uso de Cobalt Strike, en diferentes campañas de espionaje y robo de datos.
• 2022: campañas de distribución de DatopLoader explotando ProxyShell, como cargador de Qbot y Cobalt Strike.
• 2022: ataque a servidores MS-SQL desactualizados expuestos a internet.

Ilustración 4. Acceso inicial, phishing y ejecución de Cobalt Strike.

Panorama Nacional

De acuerdo a la actividad de Cobalt Strike en el panorama global, es posible mencionar que ha estado presente y activo desde su surgimiento, por lo que pese a ser una amenaza latente utilizada para la propagación de cargas útiles maliciosas con distintas motivaciones, constantemente se identifican nuevas formas de utilización que aumentan aún más su criticidad.

Considerando los actores maliciosos que operan con el uso de este tipo de herramientas (como TA 505, por ejemplo) y habiendo observado las diferentes campañas de crimeware llevadas a cabo, se puede inferir que la tendencia en el empleo de técnicas que incluyan este modo de operación seguirá al alza, ya que su presencia a nivel nacional y LATAM, relacionado a otras actividades de alto impacto (como el compromiso de cadena de suministro Solarwinds o las operaciones de spear phishing bancario), se han mostrado vigente en distintas situaciones, como lo es la distribución de malware (troyanos bancarios, criptominadores e infostealer), contra organizaciones y particulares.

No cabe duda de que este comportamiento, habiendo tocado terreno nacional, se mantendrá en el tiempo y con un alto volumen de actividad, por cuanto los diferentes actores maliciosos se encuentran en una mejora continua de sus capacidades técnicas y su arsenal de ataque.

Finalmente, teniendo en cuenta que el uso de Cobalt Strike no requiere de un profundo conocimiento técnico, es de esperar que individuales o grupos menores que se encuentran presentes en la región (LATAM), adopten métodos de operación similares a los ya analizados, sumando con esto una nueva amenaza latente para los diferentes ámbitos de seguridad en el país.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.