MS SQL arşivleri - Veritabanı Bilgi Havuzu

Microsoft SQL Sunucularını Hedefleyen FARGO Fidye Yazılımı

AhnLab’ın ASEC analiz ekibi, FARGO (Mallox, TargetCompany olarak da bilinir) fidye yazılımını kullanan siber suçluların Microsoft SQL (MS SQL) sunucularını hedef aldığı konusunda uyardı.

Saldırganların hedeflenen sunuculara nasıl eriştiğini tam olarak belirlemediler, ancak veritabanı sunucularını hedef alan tipik saldırıların kaba kuvvet ve mevcut, zayıf güvenlikli hesapların şifrelerini ele geçirmeyi amaçlayan sözlük saldırılarını içerdiğini belirttiler.

“Ayrıca, güvenlik açığı yaması uygulanmayan sistemlerde güvenlik açığı saldırıları olabilir” diye eklediler.

Veritabanı sunucuları normal hedeflerdir. MS SQL sunucuları genellikle çeşitli amaçları göz önünde bulunduran saldırganlar tarafından hedeflenir ve tehlikeye atılır. Amaç onları bir kripto madenciliği botnetinin parçası yapmak, az çok kötü amaçlarla kullanılabilecek proxy sunucularına dönüştürmektir.

Saldırı nasıl ortaya çıkıyor ?

MS SQL sunucusunun güvenliği ihlal edildikten sonra, saldırganlar komut İstemi (cmd.exe) ve powershell (powershell.exe) aracılığıyla bir .NET dosyası indirmesini sağlar ve bu da ilave kötü amaçlı yazılımları indirir ve yükler.

Ayrıca yüklenen kötü amaçlı yazılım, %temp% dizininde belirli süreçleri ve hizmetleri kapatan bir BAT dosyası oluşturur ve yürütür.

Fidye yazılımının davranışı, normal bir Windows programı olan AppLaunch.exe’ye enjekte edilerek başlar. Belirli bir yoldaki bir kayıt defteri anahtarını silmeye çalışır ve kurtarma devre dışı bırakma komutunu yürütür ve belirli işlemleri kapatır.

Fidye yazılımı, kendi faaliyetleriyle (.FARGO, .FARGO2, vb.) ve savunmasız MS SQL sunucularını hedef alan başka bir fidye yazılımı tehdidi olan GlobeImposter’ın uzantılarıyla ilişkili dosyalar da dahil olmak üzere bazı dosyaları şifreler ve diğerlerinden kaçınır.

Son olarak, aşağıdaki fidye notunu gösterir:

Saldırının önlemesi :

Mallox/TargetCompany fidye yazılımının önceki sürümlerinin bazıları tarafından şifrelenen dosyaların şifresi çözülebilirken, şu anda FARGO şifreli dosyalar için ücretsiz bir şifre çözücü bulunmamaktadır.

Bu ve güvenliği ihlal edilmiş MS SQL sunucuları aracılığıyla gelen diğer tehditlerin kurbanı olmayı önlemek için, yöneticilerin kurulumlarını düzenli olarak düzeltmeleri ve hesaplarını korumak için karmaşık, benzersiz parolalar kullanmaları önerilir.

Fargo Fidye Yazılımı Hakkında :

FARGO, TargetCompany fidye yazılımının yeni bir çeşididir. Eskiden .mallox dosya uzantısı kullandığından, geçmişte Mallox olarak da biliniyordu. Haziran 2021’in ortalarında, bu kripto fidye yazılımı çalışmaya başladı. Küresel olarak yayılabilir ve İngilizce konuşan insanlara yöneliktir.

Fidye yazılımı, ChaCha20, AES-128 ve Curve25519 algoritmalarının bir kombinasyonunu kullanarak kurbanın bilgisayarında bulunan verileri şifreler. Ardından, verilerin şifresini çözmek için Bitcoin ile ödeme talep eden aşağıdaki gibi bir mesaj görüntüler.

FARGO fidye yazılımı, .doc, .docx, .xls ve .pdf gibi kritik üretkenlik dosyalarına ek olarak, bilgisayarınızda resimler, filmler ve diğer medyaları arayacaktır. Dosyaları açmanızı engellemek için fidye yazılımı onları şifreler ve uzantılarını .FARGO’yu içerecek şekilde değiştirir.

SQL Server Management Studio kullanarak bir CSV dosyasını bir veritabanına aktarma

SQL Server Management Studio’yu kullanarak CSV formatlı bir dosyayı veritabanınıza aşağıdaki adımları takip ederek aktarabilirsiniz.

SQL Server Management Studio’yu kullanarak veritabanınızda oturum açın.
Database bölümüne sağ tıklayın ve Tasks -> Import Data … öğesini seçin ve İleri butonuna tıklayarak ilerleyin.
Veri Kaynağı olarak “Flat File Source” seçin. Ardından, CSV dosyasını seçmek için Gözat düğmesini kullanın. Veri içe aktarmayı yapılandırıp İleri butonuna tıklayarak ilerleyin.
Hedef için doğru veritabanı sağlayıcısını seçin (örneğin SQL Server 2012 için SQL Server Native Client 11.0’ı kullanabilirsiniz). Sunucu adını girin; SQL Server Kimlik Doğrulamasını Kullan seçeneğini işaretleyin, İleri> düğmesine tıklamadan önce Kullanıcı adını, Parolayı ve Veritabanını girin.
Kaynak Tabloları ve Görünümleri Seç penceresinde, gerekli eşlemeleri (Mappings) düzenleyip , İleri butonuna tıklayarak ilerleyin.
Hemen çalıştır seçeneğini işaretleyin ve İleri> düğmesine tıklayın.
Paketi çalıştırmak için Bitir düğmesine tıklayın.

Disk has crossed a capacity utilization threshold and used bytes

Bir gün SQL Server Failover Cluster’ın resource’larından olan bir disk’in offline olduğu için veritabanlarına erişilemez olduğunu gördük. Event log’u incelediğimizde aşağıdaki gibi hatalar olduğunu fark ettik.

Disk has crossed a capacity utilization threshold and used bytes. When the threshold was crossed,the pool had 0 bytes of remaining capacity.

Disk has reached a logical block provisioning permanent resource exhaustion condition.

Hata’lardan disk’te boş alan var gözükmesine rağmen tanımlanmış bir threshold’u geçtiği için disk’in büyüyemeceğini görüyoruz. Gerekli araştırmaları yaptıktan sonra hata’nın storage tarafında snapshot için disk alanı ayrıldığı için kaynaklandığını farkettik. Windows cluster tarafında ise diskte boş yer olduğundan ve genişlemeye çalıştığından Failover Cluster aşağıdaki hatayı vererek diski offline duruma çekmektedir.

Ownership of cluster disk has been unexpectedly lost by this node. Run the Validate a Configuration wizard to check your storage configuration.

Disklerin durumlarına Failover Cluster Manager’dan erişemediğimizden, diski online duruma getirmek için aşağıdaki powershell scriptlerini kullandık.

Clusterda bulunan kaynakların durumlarını gösterir:

Get-ClusterResource

Offline olan kaynağı yukardaki script ile online duruma getiriyoruz:

Start-ClusterResource -Name "Cluster Disk 02"

UpdateUptimeRegKey: Operating system error 5(Access is denied.) encountered Hatası ve Çözümü;

Sebep;

MSSql Server servisinin çalıştığı kullanıcı hesabının MSSQL Registry dosyalarına yetkili olmadığından kaynaklanmaktadır.

Çözümü;
—> Run —> Regedit
—> HKEY_LOCAL_MACHINE
—> SOFTWARE
—> Microsoft
—> Microsoft SQL Server

Uzantısından hata alınan (Instance Name) üzerine gelip sağ tıkladığımızda permissions sekmesinden MSSQL Servisinin çalıştığı kullanıcı hesabına Full Kontrol yetkisi verdiğimizde sorun çözülecektir.

Not:

Sunucu üzerinde çalışan instance üzerine versiyon upgrade yapıldı ise Microsoft SQL Server klasöründe birden faklı versiyonların reg keyleri bulunacaktır. Farklı versiyonun keylerine yetki verdiğinizde hata devam edecek olup doğru dosyaya yetki vermeniz gerekmektedir.

SQL Server Memory’si Yeterli mi?(Memory Grant Pending)

Bu makale’de SQL Server Memory’sinin yeterli olup olmadığını anlamanın bir kaç yolunu inceleyeceğiz.

SQL Server işletim sistemi üzerinde tüm memory’yi kullanmaya çalışır. Hatta bazı durumlarda SQL Server’a limit koymazsanız işletim sistemini darboğaza sokabilirsiniz. Bu yüzden MAX SERVER MEMORY konfigürasyonunu yapmalısınız. Detaylarla ilgili “Numa Nodes, MAX/MIN Server Memory, Log Pages In Memory and MAXDOP“” isimli makale’yi okumanızı tavsiye ederim.

Performance counter’lardan bazı bilgileri çekerek memory’nin yeterliliğini kontrol edebilirsiniz.

Örneğing page life expectancy ya da buffer cache hit ratio. Detaylar için “Data Collector, Management Data Warehouse, Perfmon” isimli makale’den faydalanabilirsiniz.

Daha hızlı bir çözüm yolu olarak’ta memory ihtiyacı için beklemede olan sorgu’ların kayıt sayısını bulmaktır. Aşağıdaki sorgu yardımıyla memory almak için bekleyen sorgu sayısını görebilirsiniz. Bu sayı normalde 0(sıfır) olmalıdır.

SELECT object_name, counter_name, cntr_value
FROM sys.dm_os_performance_counters
WHERE [object_name] LIKE '%Memory Manager%'
AND [counter_name] = 'Memory Grants Pending'

Sepetiniz

Kategori arşivi: MS SQL