
Credit image: Freepix
Ancaman Baru pada MS-SQL Eksploitasi Kredensial Lemah – Sebuah kampanye serangan siber yang canggih kembali muncul, kali ini menargetkan Server Microsoft SQL (MS-SQL) yang tidak dikelola dengan benar.
Serangan ini menggunakan framework perintah dan kontrol (Command and Control/C2) bernama XiebroC2 untuk membangun akses yang persisten dan sulit dideteksi pada sistem yang telah disusupi.
Pola serangan ini menyoroti kerentanan database yang terekspos ke publik dengan kredensial yang lemah. Ini adalah peringatan keras bagi perusahaan dan organisasi untuk segera memperketat keamanan server database mereka.
Dari Kredensial Lemah hingga Kendali Penuh
Serangan ini mengikuti pola yang dapat diprediksi, dimulai dengan penyusupan berbasis kredensial, kemudian berlanjut ke operasi penambangan koin (coin mining).
Namun, integrasi XiebroC2 menunjukkan adanya peningkatan signifikan dalam kecanggihan serangan.
Baca juga: Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker |
1. Titik Awal: Eksploitasi Kredensial
Para penjahat siber memulai serangan dengan mencari server MS-SQL yang dapat diakses publik (publicly accessible) dan memiliki kredensial atau sandi yang lemah. Setelah berhasil masuk ke server, mereka mendapatkan pijakan awal (initial foothold) dalam sistem.
2. Peningkatan Hak Akses (Privilege Escalation) dengan JuicyPotato
Setelah berhasil masuk, penyerang menghadapi kendala alami: hak akses (privileges) akun layanan MS-SQL biasanya dibatasi demi keamanan. Untuk mengatasi batasan ini, aktor ancaman menggunakan alat eksploitasi terkenal bernama JuicyPotato.
JuicyPotato memanfaatkan celah keamanan yang terdokumentasi dengan baik pada Windows, terutama penyalahgunaan hak token dalam proses yang sedang berjalan.
Dengan mengeksploitasi hak istimewa peniruan (impersonation privileges) yang sering diberikan kepada akun layanan, JuicyPotato secara efektif meningkatkan akses penyerang dari tingkat layanan terbatas menjadi hak akses administratif (Admin).
Peningkatan hak akses ini memungkinkan penyerang untuk menjalankan perintah sensitif dan memodifikasi konfigurasi sistem.
3. Menyebarkan Framework XiebroC2
Begitu hak akses ditingkatkan, penyerang melanjutkan ke tahap utama: mengunduh dan mengeksekusi framework XiebroC2 menggunakan perintah PowerShell.
XiebroC2 adalah framework C2 yang tersedia secara publik (mirip dengan alat komersial seperti CobaltStrike). Kerangka kerja ini memberi peretas kemampuan kontrol jarak jauh yang komprehensif, termasuk:
- Pengumpulan Informasi: Mengambil data sistem, identifier proses, hardware, dan kredensial pengguna.
- Pengendalian Proses: Memberikan reverse shell, manajemen file, dan kontrol atas proses yang berjalan.
- Dukungan Lintas Platform: Karena ditulis dalam bahasa pemrograman Go, XiebroC2 mampu beroperasi di lingkungan Windows, Linux, dan macOS.
Keberadaan XiebroC2 yang open-source dan fitur-fiturnya yang luas menjadikannya alternatif yang menarik dan tanpa biaya bagi penyerang.
Baca juga: Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional |
Mengapa Server Database Menjadi Sasaran Utama?
Server database seperti MS-SQL adalah gudang data paling berharga bagi sebuah organisasi, mulai dari data pelanggan, kekayaan intelektual, hingga informasi finansial. Kampanye ini menyoroti dua kerentanan mendasar:
- Banyak server MS-SQL yang salah dikonfigurasi, seringkali dibiarkan terekspos ke internet tanpa firewall atau kontrol akses yang ketat.
- Penggunaan sandi default atau sandi yang lemah pada akun layanan dan admin memudahkan serangan berbasis kredensial.
Para peneliti mengamati bahwa implant XiebroC2 menunjukkan teknik canggih untuk menghindari deteksi sambil mempertahankan komunikasi terenkripsi dengan server C2 mereka.
Awalnya, penyerang mungkin hanya menanam coin miner, tetapi dengan XiebroC2, mereka telah menyiapkan backdoor yang persisten untuk serangan lanjutan yang jauh lebih merusak.
Langkah Pencegahan dan Pengamanan Server MS-SQL
Untuk melindungi diri dari ancaman seperti XiebroC2, organisasi harus segera mengambil tindakan pengamanan yang serius:
Terapkan Prinsip Keamanan Maksimal
- Perkuat Sandi (Hardening): Ubah semua sandi default dan terapkan kebijakan sandi yang kompleks dan unik untuk semua akun layanan dan admin.
- Batasi Akses Jaringan: Server MS-SQL seharusnya TIDAK dapat diakses langsung dari internet. Batasi akses hanya melalui jaringan internal atau VPN yang aman.
Manajemen Hak Akses (Least Privilege)
Pastikan akun layanan MS-SQL berjalan dengan hak akses yang sesedikit mungkin (Least Privilege Principle). Hak akses yang berlebihan, seperti yang dieksploitasi oleh JuicyPotato, harus dihindari.
Pemantauan dan Patching Rutin
- Instal patch dan pembaruan keamanan terbaru untuk MS-SQL dan sistem operasi Windows secara teratur untuk menutup celah yang dieksploitasi seperti JuicyPotato.
- Terapkan sistem pemantauan yang komprehensif untuk mendeteksi aktivitas yang tidak biasa, seperti eksekusi perintah PowerShell yang tidak dikenal atau koneksi asing ke server database.
Serangan XiebroC2 adalah pengingat bahwa penjahat siber akan selalu mencari cara untuk mengubah titik lemah konfigurasi menjadi senjata spionase canggih. Keamanan database harus menjadi prioritas utama.
Sumber berita: