گسترش حملات روی سرویس دهنده‌های SQL SERVER از مبدا داخل کشور

ms sql server

افزایش حملات به سرویس دهنده‌های SQL Server بر روی پورت ۱۴۳۳، نتایج رصد حسگرهای مرکز ماهر نشان‌ دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آن‌ها به عنوان مهاجمین جدید در این حملات است.

مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم می‌کند. در ادامه مهاجم با ایجاد برخی ‌ Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش می‌توانند هر نوع بدافزاری باشند.

توصیه مقابله

برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه می‌شود :

  • از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید
  • از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید

در صورتی که SQL Server شما در معرض اینترنت قرار داشته است علاوه بر اطلاعات فوق لازم است:

  • فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید
  • با توجه به احتمال آلودگی،‌ بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید

هشدار در خصوص گسترش حملات دسترسی غیرمجاز بر روی سرویس دهنده‌های MS SQL SERVER از مبدا داخل کشور