Los servidores Microsoft SQL (MS SQL) mal gestionados son el objetivo de una nueva campaña diseñada para propagar un tipo de malware llamado CLR SqlShell, que finalmente facilita la implementación de mineros de criptomonedas y ransomware.
«Similar a un web shell, que se puede instalar en servidores web, SqlShell es una cepa de malware que admite varias funciones después de ser instalado en un servidor MS SQL, como ejecutar comandos de actores malintencionados y llevar a cabo todo tipo de comportamiento malicioso», dijo el Centro de Respuesta de Emergencia de Seguridad de AhnLab (ASEC) en un informe publicado la semana pasada.
Un procedimiento almacenado es una subrutina que contiene un conjunto de declaraciones de Structured Query Language (SQL) para su uso en varios programas en un sistema de gestión de bases de datos relacionales (RDBMS).
Los procedimientos almacenados CLR (abreviatura de Common Language Runtime) -disponibles en SQL Server 2005 y posterior- se refieren a procedimientos almacenados que se escriben en un lenguaje .NET como C# o Visual Basic.
El método de ataque descubierto por la firma de ciberseguridad surcoreana implica el uso de procedimientos almacenados CLR para instalar el malware en servidores MS SQL mediante el comando xp_cmdshell, que genera una terminal de comando de Windows y ejecuta una instrucción como entrada.
Algunas de las técnicas empleadas por los actores de amenazas, incluidos aquellos asociados con LemonDuck, MyKings (también conocido como DarkCloud o Smominru) y Vollgar, se relacionan con la explotación de servidores MS SQL expuestos en Internet a través de ataques de fuerza bruta y diccionario para ejecutar comandos xp_cmdshell y procedimientos almacenados OLE y ejecutar malware.
El uso de procedimientos almacenados CLR es la última adición a esta lista, con los atacantes aprovechando las rutinas de SqlShell para descargar cargas útiles de próxima generación como Metasploit y mineros de criptomonedas como MrbMiner, MyKings y LoveMiner.
Además, se ha utilizado SqlShells llamados SqlHelper, CLRSQL y CLR_module por diferentes adversarios para escalar privilegios en servidores comprometidos y lanzar ransomware, proxyware e incorporar capacidades para llevar a cabo esfuerzos de reconocimiento en redes objetivo.
«SqlShell puede instalar malware adicional como puertas traseras, mineros de criptomonedas y proxyware, o puede ejecutar comandos maliciosos recibidos de actores de amenazas de manera similar a WebShell», dijo ASEC.
