كتب إبراهيم أحمد
زادت الهجمات باستخدام Microsoft SQL Server بنسبة 56% في سبتمبر 2022 مقارنة بالمدة نفسها من العام الماضي. وما زال مجرمو الإنترنت يلجؤون إلى هجوم شائع يستخدم SQL Server في محاولة الوصول إلى البنى التحتية للمؤسسات. وخضعت التفاصيل الفنية لأحد هذه الحوادث للتحليل في تقرير كاسبرسكي الجديد حول الخدمات المدارة الخاصة بالكشف عن التهديدات والاستجابة لها.
واكتشف باحثو كاسبرسكي ارتفاعًا في الهجمات التي تستغلّ عمليات خادم مايكروسوفت SQL Server Microsoft الذي يُستخدم على نطاق واسع في جميع أنحاء العالم من قبل المؤسسات والشركات المتوسطة والصغيرة لإدارة قواعد البيانات. وبلغ عدد خوادم SQL التي تعرّضت للهجمات في سبتمبر 2022 أكثر من 3,000، بزيادة 56% مقارنة بالشهر نفسه من العام الماضي. واستطاع الحلّ Kaspersky Endpoint Security for Business وخدمات كاسبرسكي المدارة الخاصة بالكشف عن التهديدات والاستجابة لها، اكتشاف هذه الهجمات بنجاح.
وزاد عدد هذه الهجمات تدريجياً خلال العام الماضي وظل فوق 3,000 هجوم منذ إبريل 2022، باستثناء انخفاض طفيف شهده شهرا يوليو وأغسطس.
وقال سيرجي سولداتوف رئيس مركز العمليات الأمنية لدى كاسبرسكي، إن المؤسسات قد لا تمنح خادم Microsoft SQL Server الأولوية الكافية لحمايته من التهديدات المرتبطة بالبرمجيات، بالرغم من انتشاره الواسع. وأضاف: “الهجمات التي تستغلّ وظائف SQL Server الخبيثة معروفة منذ فترة طويلة، ولا يزال المجرمون يلجؤون إليها في مساعيهم للوصول إلى البنى التحتية المؤسسية”.
حادثة غريبة: تعليمات PowerShell برمجية وملفات PNG
ويختصّ التقرير الجديد بعرض أكثر الحوادث إثارة للاهتمام، والتي كشفت عنها الخدمات المدارة الخاصة بالكشف عن التهديدات والاستجابة لها، ويصف فيه خبراء كاسبرسكي فيه هجومًا يستخدم مهام Microsoft SQL Server، ويتألف من سلسلة من الأوامر التي ينفذها وكيل الخادم.
وأوضح سولداتوف أن المهاجمين “حاولوا التعديل في تهيئة الخادم للوصول PowerShell وتشغيل برمجية خبيثة عليه. وكان خادم SQL المخترق يحاول تشغيل برمجية PowerShell النصية التي أنشأت اتصالًا بعنوان IP خارجي تصدر عبره أوامر تشغيل البرمجية النصية للبرمجية الخبيثة المتخفية كملفات png، وذلك باستخدام السمة MsiMake، التي تشبه كثيرًا سلوك برمجية PurpleFox الخبيث.
مثال على وظائف SQL التي تحتوي على أوامر PowerShell مشوَّشة
يمكن زيارة Securelist.com للاطلاع على التقرير الكامل.
يوصي خبراء كاسبرسكي بتنفيذ الإجراءات التالية للحماية من التهديدات التي تستهدف المؤسسات:
• الحفاظ باستمرار على تحديث البرمجيات على جميع الأجهزة لمنع المهاجمين من التسلل إلى الشبكة عبر الثغرات التي قد توجد فيها.
• الحرص على تثبيت تصحيحات للثغرات المكتشفة في أقرب فرصة. بحيث تعجز الجهات التخريبية عن استغلالها.
• استخدم أحدث معلومات التهديدات للبقاء على اطلاع على الأساليب والتكتيكات والإجراءات التي تستخدمها الجهات التخريبية.
• اختيار حل أمني موثوق به للأجهزة الطرفية، مثل Kaspersky Endpoint Security for Business، المجهز بإمكانيات الكشف القائمة على السلوك والتحكّم في الحالات الشاذة لتوفير حماية فعالة من التهديدات المعروفة وغير المعروفة.
• يمكن أن تساعد الخدمات التخصصية في مكافحة الهجمات الكبيرة. وتساعد خدمة Kaspersky Managed Detection and Response المدارة للكشف عن التهديدات والاستجابة لها في تحديد محاولات التسلل وإيقافها في مراحلها الأولى، قبل أن يحقق المهاجمون أهدافهم. كذلك تساعد خدمة الاستجابة للحوادث Kaspersky Incident Response على الاستجابة وتقليل العواقب عند مواجهة حادث ما، لا سيما في تحديد العقد المخترقة وحماية البنية التحتية من الهجمات المماثلة في المستقبل.