Actualités

CobaltStrike : retour sur les mises en lumière sécuritaires impactant les serveurs SQL de Microsoft !

Les chercheurs de l’équipe ASec viennent de divulguer leurs premières conclusions techniques, entre le 21 et 24 Février 2022, concernant la cyber-attaque par brute force observée vers les serveurs MS-SQL : s’instillant, généralement, par le port 1433, CobaltStrike, même avec un port non-ouvert, s’étend dans le système pour exécuter du code malicieux avec toute une panoplie de malwares, pour accompagner ou optimiser l’offensive…

 

Paramètres-donnée de CobaltStrike

 

Dans un premier billet sécuritaire, les chercheurs expliquent que le port 1433 est analysé pour voir s’il est ouvert en notant que, même si cela n’est pas le cas, CobaltStrike s’instillera par l’entremise d’autres charges virales comme LemonDuck ou encore des CoinMiner (Kingminer et Vollgar étant principalement cités), pour asseoir la cyber-attaque latérale. Il reste sous les radars anti-virus en détournant une DLL : “Cobalt Strike qui est exécuté dans MSBuild.exe a une option de paramètres supplémentaires pour contourner la détection des produits de sécurité, où il charge la dll normale wwanmm.dll, puis écrit et exécute une balise dans la zone mémoire de la dll. Comme la balise qui reçoit la commande de l’attaquant et exécute le comportement malveillant n’existe pas dans une zone de mémoire suspecte et fonctionne à la place dans le module normal wwanmm.dll, elle peut contourner la détection basée sur la mémoire“, est-il détaillé.

 

wwanmm.dll

 

Une fois la pénétration-système effectuée (en général, les comptes à privilèges certains sont visés : le compte administrateur étant une cible de choix, bien sûr), des commandes Shell (xp_cmdshell) sont utilisées pour propager l’infection (MSBuild.exe) avec des finalités assez variées dont les cyber-attaques par ransomware.

 

Fichier HTA (bobo.png) envoyé sous forme d’URL malicieuse,
via le processus mshta.exe

 

Arborescence de CobaltStrike (runddll32)

 

Une variation a été, également, observée via un “arbre de processus différent” : ici, “une forme sans fichier” est exploité par le biais de mshta.exe et rundll32.exe tout en reposant sur un fondement similaire à ci-dessus, à savoir une exécution-commandes en cmd.exe avec une distribution de la charge virale par les serveurs SQLs (sqlservr.exe). Il est indiqué que le fichier HTA (mshta.exe, donc) et son script XSL ainsi conçu permettent une fonction-double (téléchargement + exécution) dont l’ensemble est déployé directement depuis les serveurs (command-and-control) du ou des cyber-attaquant(s). Une fois le script initialisé vers le système ainsi ciblé, CobalStrike (Stager) s’exécute et déploie une injection-code (rundll32.exe) ce qui déclenche le téléchargement d’une balise depuis le serveur command-and-control pour déployer tout un tas d’outils ou de fonctionnalités distantes

 

 

Pour l’heure et selon ces premiers éléments d’enquête, il semble que la cyber-attaque sous MS-SQL soit l’œuvre ou du fait d’une même source (cyber-attaquant(s))… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6