NajnovijeTech

Hakeri dobijaju postojanost bez datoteka na ciljanim SQL serverima koristeći ugrađeni uslužni program

Izvor: Microsoft

Microsoft je u utorak upozorio da je nedavno uočio zlonamjernu kampanju usmjerenu na SQL servere koji koristi ugrađeni PowerShell binarni program za postizanje postojanosti na kompromitovanim sistemima.

Upadi, koji koriste bruteforce napade kao početni kompromisni vektor, ističu se po upotrebi uslužnog programa “sqlps.exe“, rekao je tehnološki gigant u nizu tvitova.

Krajnji ciljevi kampanje su nepoznati, kao ni identitet aktera prijetnje koji je organizira. Microsoft prati zlonamjerni softver pod imenom “SuspSQLUsage“.

Uslužni program sqlps.exe, koji se podrazumevano isporučuje sa svim verzijama SQL servera, omogućava SQL agentu — Windows servisu za pokretanje zakazanih zadataka — da pokreće poslove koristeći PowerShell podsistem.

“Napadači postižu postojanost bez datoteka tako što stvaraju uslužni program sqlps.exe, PowerShell omot za pokretanje cmdlet-a izgrađenih u SQL-u, za pokretanje komandi za recon i promjenu načina pokretanja SQL usluge u LocalSystem”, napominju iz Microsofta.

SQL serveri

Uz to, napadači su također primijećeni kako koriste isti modul za kreiranje novog naloga sa ulogom sysadmina, čime je efektivno omogućeno preuzimanje kontrole nad SQL Serverom.

Ovo nije prvi put da su akteri prijetnji naoružali legitimne binarne datoteke koje su već prisutne u okruženju, tehnikom koja se zove život izvan zemlje (LotL), kako bi postigli svoje podle ciljeve.

Sajber sigurnost

Prednost koju nude takvi napadi je ta što su obično bez datoteka jer ne ostavljaju nikakve artefakte iza sebe i manje je vjerovatno da će aktivnosti biti označene antivirusnim softverom zbog toga što koriste pouzdani softver.

Ideja je omogućiti napadaču da se uklopi u redovnu mrežnu aktivnost i normalne administrativne zadatke, dok ostane skriven u dužem vremenskom periodu.

“Upotreba ove neuobičajene binarne datoteke za život izvan zemlje (LOLBin) naglašava važnost potpune vidljivosti ponašanja skripti u toku izvođenja kako bi se razotkrio zlonamjerni kod”, rekao je Microsoft.

Pokazati više
escort mersin - izmir escort