Уязвимость серверов MS-SQL: угроза через Anydesk и Ammyy Admin

Недавние случаи атак на серверы MS-SQL выявили тревожные тенденции в применении инструментов удаленного управления, таких как Anydesk и Ammyy Admin. Эти инструменты теперь используются злоумышленниками аналогично бэкдорам и троянам удаленного доступа (RAT), что ставит под угрозу безопасность многих организаций.

Характеристика уязвимости серверов

Уязвимость в основном связана с ненадлежащим образом защищенными серверами MS-SQL, которые могут быть легко просканированы и скомпрометированы злоумышленниками. После обнаружения целевого сервера, злоумышленник часто устанавливает вредоносный код, использующий слабые учетные данные для аутентификации.

Методы атак и инструменты

В документированных атаках были выявлены следующие методы и инструменты:

• Использование протокола GOTOHTTP в качестве точки входа;
• Применение Ammyy Admin версии V3.10 для контроля над системами;
• Использование конфигурационного файла «Settings3.bin«, содержащего критически важную информацию, такую как Идентификатор клиента;
• Применение PetitPotato для активации службы протокола удаленного рабочего стола (RDP) и добавления новых учетных записей пользователей.

Тактика атакующих

Тактика, используемая в данных атаках, включает:

• Брутфорсинг учетных записей;
• Атаки по словарю против плохо настроенных учетных записей.

Рекомендации по защите

Для снижения рисков администраторам рекомендуется:

• Внедрять сложные политики паролей;
• Периодически менять пароли;
• Постоянно обновлять программное обеспечение удаленного управления;
• Настраивать сетевые средства защиты, такие как брандмауэры, для контроля доступа к серверам баз данных, особенно к тем, которые доступны извне.

Несоблюдение этих превентивных мер может привести к продолжительным атакам и потенциальному распространению вредоносного ПО в уязвимой инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.