Introdução

Recentemente, a equipa de investigação da Securonix identificou uma campanha de ataques, denominada DB#JAMMER, que tem como alvo servidores Microsoft SQL (MSSQL) expostos. Os atacantes utilizam técnicas sofisticadas e diversas ferramentas maliciosas, incluindo uma variante do ransomware Mimic chamada FreeWorld.


Técnicas de Ataque


1. **Acesso Inicial**: Os atacantes ganham acesso através de ataques de força bruta às credenciais do MSSQL.

  

2. **Enumeração do Sistema**: Utilizam comandos básicos como `wmic.exe`, `net.exe` e `ipconfig.exe` para obter informações sobre o sistema.


3. **Impedir Defesas**: Executam uma série de comandos para desativar as defesas do sistema, como o firewall do Windows.


4. **Criação de Utilizadores**: Criam novos utilizadores e adicionam-nos aos grupos de "utilizadores de ambiente de trabalho remoto" e "administradores".


5. **Persistência**: Utilizam partilhas de rede SMB para transferir ferramentas maliciosas e estabelecer uma presença duradoura no sistema.


6. **Movimento Lateral**: Utilizam scanners de porta avançados para enumerar outros sistemas na rede.


7. **Exfiltração de Credenciais**: Utilizam o Mimikatz para extrair credenciais em texto simples.


8. **Implementação de Ransomware**: Finalmente, implementam o ransomware FreeWorld para encriptar ficheiros no sistema alvo.


Dicas de Proteção


1. **Senhas Fortes**: Utilize senhas complexas, especialmente em serviços expostos à Internet.


2. **Limitar Funcionalidades**: Em ambientes MSSQL, limite o uso da stored procedure `xp_cmdshell`.


3. **VPN**: Em vez de expor serviços à Internet, utilize uma VPN confiável.


4. **Monitorização**: Mantenha um registo detalhado dos diretórios comuns de malware, como "C:\\Windows\\Temp".


5. **Logging Avançado**: Utilize ferramentas como Sysmon e registo de PowerShell para uma cobertura de deteção adicional.


Conclusão

Os ataques a servidores MSSQL estão a tornar-se cada vez mais sofisticados. É crucial estar ciente das técnicas utilizadas pelos atacantes e implementar medidas de proteção adequadas para garantir a segurança dos sistemas.


Fonte

Para mais informações, consulte o artigo original da Securonix: [Securonix Threat Labs Security Advisory](https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/).