Serangan Siber Makin Canggih, Mencoba Menembus Cloud Melalui SQL Server Instance

The Hacker News

Cyberthreat.id - Microsoft telah merinci kampanye baru di mana penyerang gagal mencoba berpindah ke lingkungan cloud melalui contoh SQL Server.

“Para penyerang awalnya mengeksploitasi kerentanan injeksi SQL dalam aplikasi di lingkungan target,” kata peneliti keamanan Sunders Bruskin, Hagai Ran Kestenberg, dan Fady Nasereldeen dalam laporan hari Selasa sebagaimana dikutip The Hacker News.

"Ini memungkinkan penyerang mendapatkan akses dan izin yang lebih tinggi pada instans Microsoft SQL Server yang disebarkan di Azure Virtual Machine (VM)."

Pada tahap berikutnya, pelaku ancaman memanfaatkan izin baru untuk mencoba berpindah secara lateral ke sumber daya cloud tambahan dengan menyalahgunakan identitas cloud server, yang mungkin memiliki izin yang lebih tinggi untuk melakukan berbagai tindakan jahat di cloud yang dapat diakses oleh identitas tersebut.

Microsoft mengatakan tidak menemukan bukti apa pun yang menunjukkan bahwa penyerang berhasil berpindah secara lateral ke sumber daya cloud menggunakan teknik tersebut.

“Layanan cloud seperti Azure menggunakan identitas terkelola untuk mengalokasikan identitas ke berbagai sumber daya cloud,” kata para peneliti.

“Identitas tersebut digunakan untuk otentikasi dengan sumber daya dan layanan cloud lainnya.”

Titik awal rantai serangan adalah injeksi SQL terhadap server database yang memungkinkan musuh menjalankan kueri untuk mengumpulkan informasi tentang host, database, dan konfigurasi jaringan.

Dalam intrusi yang diamati, diduga bahwa aplikasi yang ditargetkan dengan kerentanan injeksi SQL memiliki izin yang lebih tinggi, yang memungkinkan penyerang mengaktifkan opsi xp_cmdshell untuk meluncurkan perintah sistem operasi untuk melanjutkan ke tahap berikutnya.

Hal ini termasuk melakukan pengintaian, mengunduh skrip executable dan PowerShell, dan menyiapkan persistensi melalui tugas terjadwal untuk memulai skrip pintu belakang.

Eksfiltrasi data dilakukan dengan memanfaatkan alat yang dapat diakses publik yang disebut situs webhook[.]dalam upaya untuk tetap berada di bawah radar, karena lalu lintas keluar ke layanan tersebut dianggap sah dan kemungkinan besar tidak akan ditandai.

“Para penyerang mencoba memanfaatkan identitas cloud dari contoh SQL Server dengan mengakses [layanan metadata contoh] dan mendapatkan kunci akses identitas cloud,” kata para peneliti.

"Permintaan ke titik akhir identitas IMDS mengembalikan kredensial keamanan (token identitas) untuk identitas cloud."

Tujuan akhir dari operasi ini tampaknya adalah untuk menyalahgunakan token untuk melakukan berbagai operasi pada sumber daya cloud, termasuk pergerakan lateral di seluruh lingkungan cloud, meskipun berakhir dengan kegagalan karena kesalahan yang tidak ditentukan.

Perkembangan ini menggarisbawahi semakin canggihnya teknik serangan berbasis cloud, dimana pelaku kejahatan terus-menerus mencari proses, akun, identitas terkelola, dan koneksi database yang memiliki hak istimewa berlebihan untuk melakukan aktivitas jahat lebih lanjut.

“Ini adalah teknik yang kami kenal di layanan cloud lain seperti VM dan kluster Kubernetes, namun belum pernah kami lihat sebelumnya di SQL Server,” para peneliti menyimpulkan.

"Tidak mengamankan identitas cloud dengan benar dapat menyebabkan instance SQL Server dan sumber daya cloud terkena risiko serupa.”

“Metode ini memberikan peluang bagi penyerang untuk mencapai dampak yang lebih besar tidak hanya pada instance SQL Server tetapi juga pada sumber daya cloud terkait."[]