1. Avisos de seguridad
  2. Análisis de CLR SqlShell utilizado para atacar servidores MS-SQL
Fecha de publicación: Jue, 18/05/2023 - 18:10

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Los servidores MS-SQL con contraseñas simples y abiertos públicamente a Internet son uno de los principales vectores de ataque utilizados cuando se atacan los sistemas Windows. Los actores de amenazas encuentran servidores MS-SQL mal administrados para realizar ataques de fuerza bruta o de diccionario para iniciar sesión con privilegios de administrador. Una vez que los actores de amenazas han llegado a este punto, utilizan varios medios para instalar malware y obtener control sobre los sistemas infectados.

Después de obtener una cuenta sa o privilegios de cuenta sa, el actor de amenazas o malware ejecuta comandos maliciosos o instala el malware real para obtener control sobre el sistema infectado. Además, los privilegios de la cuenta sa solo otorgan control sobre los servidores de base de datos MS-SQL, y no sobre el sistema operativo Windows en sí. En otras palabras, aunque se permite la ejecución de comandos SQL, las funciones que pueden afectar directamente al sistema operativo Windows no se proporcionan de forma predeterminada.

Recursos afectados

  • Servidores SQL Server mal administrados

Recomendaciones

Debido a este ataque, los administradores deben usar contraseñas que sean difíciles de adivinar para sus cuentas y cambiarlas periódicamente para proteger el servidor de la base de datos de ataques de fuerza bruta y ataques de diccionario, actualizar al último parche de seguridad para evitar ataques de día cero, asimismo implementar listas de control de acceso.

También se recomienda verificar los siguientes indicadores de compromiso, para verificar si fue víctima de este ataque:

  • Detección de archivos:
    • CoinMiner/Win.Generic.R503247 
    • CoinMiner/Win.Generic.R531037 
    • CoinMiner/Win.Generic.R548410
    • Descargador/Win.MyKings.C20974 92 
    • Descargador/Win.MyKings.C4262789 
    • Malware/Win.Generic.C4624149 
    • Troyano/Win.Generic.C4819385 
    • Troyano/ Win.Genérico. C4977493 
    • Troyano/Win.LEMONDUCK.C4206511 
    • Troyano/Win.SqlShell.C4975954 
    • Troyano/Win.SqlShell.C4975955 
    • Troyano/Win. SqlShell.C4975957 
    • Troyano/Win.SqlShell.C4975960 
    • Troyano/Win.SqlShell.C4975962 
    • Troyano/Win.SqlShell.C5109399 
    • Troyano/Win.SqlShell.C5271966 
    • Troyano/Win.SqlShell.C 5310256 
    • Troyano/Win.SqlShell.C5310259 
    • Troyano/Win.SqlShell.R473182 
    • Troyano/Win.SqlShell.R473183 
    • Troyano/Win.Sq lShell.R489848 
    • Trojan/Win.SqlShell.R535294 
    • Trojan/Win.SqlShell.R546675 
    • Trojan/Win.SqlShell.R549834 
    • Tro ene/Win.SqlShell. R567705 
    • Troyano/Win.SqlShell.R576151 
  • MD5
    • 383d20de8f94d12a6ded1e03f53c1e16: LemonDuck (evilclr.dll)
    • 3e81a45507aea0945c57b67f193138a2: SqlShell simple (test.dll)
    • e16bd473c6dcfdc62053864c8a5206 0d: SqlShell simple (dll.dll)
    • 694d4270555f8b5e41a49990c8c62789: SqlShell simple (shaw20211224.dll)
    • 17606de13187c780ad3bf6caf2d1bd8c: SqlShell simple (shaw20211224.dll) )
    • f0b837709ddde332bd2d7c8db9ccc1a2: SqlShell simple (shaw20211224.dll)
    • ba1772486fd114b3a384d012645ac905: Metasploit SqlShell (SqlClrPayload.dll)
    • 46b639d59fea86c (sqlhelper.dll)
    • 25dbf4f43b91bec3bfabac16b310bc08: SqlHelper (sqlhelper.dll)
    • b3f1b115efe4d58145be73ba8e2033ea: SqlHelper (sqlhelper.dll)
    • e4518c9f624775ebdbc4c26d70df4356: SqlHelper (sqlhelper.dll)
    • 15c87480e0405b41f675222ef2bea95a: SqlHelper (sqlhelper.dll)
    • 47cb400ee9d6cc9b951296b29488956b: SqlHelper (sqlhelper.dll)
    • 7a7eb2d08f4 27644c37f771a2d174376: Tipo CLRSQL 1 (CLRSQL.dll)
    • 7ae173b79f3adfa3dec15c49a51ea235: CLRSQL Tipo 1 (CLRSQL.dll)
    • b37278c39d5eff637823b01f6dbb7c6d: CLRSQL Tipo 1 (SQLCLR.dll)
    • 760cfbdd6abb9c0362feef3d6cad3d9 b: CLRSQL Tipo 2 – ShadowForce (CLRSQL.dll)
    • c3ce5aa5257d7a0d24c281a77b08c4d1: CLRSQL Tipo 2 – ShadowForce ( CLRSQL.dll)
    • 329f6d74299141fe06a5e222efcb06f8: CLR_module– ShadowForce (CLR_module.dll)
    • cfbadc45f2ca5ecd4c663d37afd784a2: CLR_module (CLR_module.dll)
    • 5d0ed9dc8864776021cf59099ca5 af91: MrbMiner (Microsoft.SqlServer.Management.dll)
    • b2ecc580203ec41fa007021db3f2aceb: MrbMiner (Microsoft.SqlServer.Management.dll)
    • 6f3c3e5b69de7d192088ffb98a345e4d: MyKings (Operar.dll)
    • 896ad50bcf14cf7fd26538bfa5a95899: Mis Reyes (Operar.dll)
    • 130d2b07a1c4cde8f0804df9fa9622d4: Mis Reyes (MSSqlInterface.dll)
    • 61fabf8842e7a93236b16f42cf c16d19: MyKings (MSSqlInterface.dll) 
    • 2f1aecbdb7ffcb0016de8ab734c0de44: MyKings (ExecCode.dll)
    • 63609079a3e4af8643d33b05894e9670: LoveMiner – Cuentagotas (Microsoft. SqlServer.Works.dll)
    • 380702ee8884e4676d837a866b6be4c2: LoveMiner – Cuentagotas (Microsoft.SqlServer.Works.dll)
    •  b87734108c8065bd8c6bc5f4096debed: LoveMiner – Cuentagotas (Microsoft.SqlServer.Works.dll)
    • 3badb7bc10be12ddb 710302e56445db9: LoveMiner – Cuentagotas (Microsoft.SqlServer.Works.dll)
    • 74b1a7e895df180d5d1fe60d4fc5fa69: LoveMiner – Cuentagotas (Microsoft.SqlServer.Works.dll)
    • cc677b21dfda8718ab0431813bc7f0d2: LoveMiner – Cuentagotas (Microsoft.SqlServer.WorksV7.dll)
    • 012e607f99ecc5b108b292d72938456a: LoveMiner – Descargador (Microsoft.SqlServ er.Works.dll)
    • 6ff71e8b324886e05deac82debc882af: LoveMiner – Descargador (Microsoft.SqlServer .Works.dll)
    • 1e92e397d0ad3d8006d99f81d913ffa1: LoveMiner – Descargador (Microsoft.SqlServer.Works.dll)
    • 281735b72906841ad705017ddf529440: LoveMiner – Descargador (Microsoft.SqlServer.Works.dll)
    • 7ff7fbd615ea5da6d5d07d6af6a0442c: LoveMiner – Descargador (SqlServerWorks.CLR.V2.dll)
    • afd5b836bc4f6 d276ba8cdf66afb7e93: LoveMiner – Descargador (Microsoft.SqlServer.Works.dll)
    • 281735b72906841ad705017ddf529440: LoveMiner – Descargador (Microsoft.SqlServer.Works.dll)
    • be12cf29d01de28944af89de391f2d9a: Proxyware (SqlServerWorks.CLR.P2P.dll)

 

  • URLs
    • ​​​​​hxxp://js.f4321y[.]com:280/v.sct: MyKings
    • hxxp://load2.wpd0126[.]info/pld: MyKings
    • hxxp://load.wpd0126[.]info /pld: MyKings
    • hxxp://load.wpd0126[.]info/pld: MyKings
    • hxxp://c.getmoney[.]company/config.txt: LoveMiner
    • hxxp://c.getmoney[.]company /ver.txt: LoveMiner
    • hxxp://c.getmoney[.]company/data.txt: LoveMiner
    • hxxp://c.getmoney[.]company/CLRV7/ver.txt: LoveMiner
    • hxxp://c .getmoney[.]company/CLRV7/data.txt: LoveMiner
    • hxxp://dl.love-network[.]cc/SqlBase.exe: LoveMiner

 

  • URL de C&C
    • 88.214.26[.]9:13785: MrbMiner
    • vihansoft[.]ir:3341: MrbMiner
    • adminserver[.]online:1001: MrbMiner
    • pcadmin[.]online:1001: MrbMiner
    • 54.36.10[ .]73:1001: MrbMiner

Referencias

CLR SqlShell Malware se dirige a servidores MS SQL para criptominería y ransomware