El malware CLR SqlShell se enfoca en servidores MS SQL

Comparte este post

Los servidores Microsoft SQL (MS SQL) mal gestionados son el objetivo de una nueva campaña diseñada para propagar un tipo de malware llamado CLR SqlShell, que finalmente facilita la implementación de mineros de criptomonedas y ransomware.

«Similar a un web shell, que se puede instalar en servidores web, SqlShell es una cepa de malware que admite varias funciones después de ser instalado en un servidor MS SQL, como ejecutar comandos de actores malintencionados y llevar a cabo todo tipo de comportamiento malicioso», dijo el Centro de Respuesta de Emergencia de Seguridad de AhnLab (ASEC) en un informe publicado la semana pasada.

Un procedimiento almacenado es una subrutina que contiene un conjunto de declaraciones de Structured Query Language (SQL) para su uso en varios programas en un sistema de gestión de bases de datos relacionales (RDBMS).

Los procedimientos almacenados CLR (abreviatura de Common Language Runtime) -disponibles en SQL Server 2005 y posterior- se refieren a procedimientos almacenados que se escriben en un lenguaje .NET como C# o Visual Basic.

El método de ataque descubierto por la firma de ciberseguridad surcoreana implica el uso de procedimientos almacenados CLR para instalar el malware en servidores MS SQL mediante el comando xp_cmdshell, que genera una terminal de comando de Windows y ejecuta una instrucción como entrada.

Algunas de las técnicas empleadas por los actores de amenazas, incluidos aquellos asociados con LemonDuck, MyKings (también conocido como DarkCloud o Smominru) y Vollgar, se relacionan con la explotación de servidores MS SQL expuestos en Internet a través de ataques de fuerza bruta y diccionario para ejecutar comandos xp_cmdshell y procedimientos almacenados OLE y ejecutar malware.

El uso de procedimientos almacenados CLR es la última adición a esta lista, con los atacantes aprovechando las rutinas de SqlShell para descargar cargas útiles de próxima generación como Metasploit y mineros de criptomonedas como MrbMiner, MyKings y LoveMiner.

Además, se ha utilizado SqlShells llamados SqlHelper, CLRSQL y CLR_module por diferentes adversarios para escalar privilegios en servidores comprometidos y lanzar ransomware, proxyware e incorporar capacidades para llevar a cabo esfuerzos de reconocimiento en redes objetivo.

«SqlShell puede instalar malware adicional como puertas traseras, mineros de criptomonedas y proxyware, o puede ejecutar comandos maliciosos recibidos de actores de amenazas de manera similar a WebShell», dijo ASEC.

Más artículos

¿Necesitas asistencia inmediata?

Si eres víctima de un ciberataque contáctanos por WhatsApp, llamada o por correo electrónico, nuestro equipo está disponible y te brindará apoyo inmediatamente.

¿Te gustaría un diagnóstico de lo que necesitas?

Industria gubernamental

¿Te gustaría un diagnóstico de lo que necesitas?

Industria marítima

¿Te gustaría un diagnóstico de lo que necesitas?

Industria bancaria

¿Te gustaría un diagnóstico de lo que necesitas?

Industria hospitalaria

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Concientización

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Seguridad en la nube

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Comunicaciones seguras

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Ciberseguridad organizacional

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Consultoría y soporte de respuesta a incidentes

¿Te gustaría un diagnóstico de lo que necesita tu empresa?

Soluciones para crisis de ciberseguridad

ESCRÍBENOS

Déjanos tus datos y te contactaremos a la brevedad para resolver tus dudas, conocer las necesidades de tu organización y poder realizar una propuesta personalizada.

Book Your Free Session Now

Fill in the form below to book a 30 min no-obligation consulting session.

I will reply within 24 hours.