19.05.2022 | Встроенная утилита на целевых SQL-серверах позволяет хакерам закрепляться в системе без сторонних файлов |
Во вторник компания Microsoft сообщила о обнаружении активной хакерской кампании, использующей исполняемый файл PowerShell целевых SQL-серверов для закрепления во взломанных системах. Новые атаки с методом полного перебора отличаются от старых использованием утилиты sqlps.exe , как сообщила компания в официальном Twitter-аккаунте. Цели и организаторы вредоносной кампании неизвестны. Microsoft отслеживает вредоносное ПО под названием SuspSQLUsage . Утилита sqlps.exe по умолчанию поставляется со всеми версиями SQL Servers и позволяет SQL Agent (службе для выполнения запланированных задач) запускать задания с помощью подсистемы PowerShell. "Злоумышленники пытаются закрепиться в системе без сторонних файлов, вызывая утилиту sqlps.exe – оболочку PowerShell для запуска встроенных в SQL команд. После этого хакеры выполняют разведку и изменяют режим запуска службы SQL на LocalSystem.", – отметили в Microsoft. Кроме того, злоумышленники были замечены в использовании sqlps.exe для создания новой учетной записи с правами системного администратора . что позволяет получить полный контроль над SQL-сервером. Это уже не первый случай, когда злоумышленники пользуются LotL-атакой для достижения своих гнусных целей. Атака Living of the Land (LotL) – это атака с использованием легитимных файлов, процессов и функций целевой системы. Ее преимуществом является отсутствие каких-либо сторонних файлов, ведь злоумышленники просто сливаются с обычной сетевой активностью и административными задачами, получая возможность скрываться в системе на протяжении очень долгого времени.. "Использование столь необычного исполняемого файла в LotL-атаке подчеркивает важность получения полной информации о поведении скриптов во время их выполнения.", – подвела итоги Microsoft. |
Проверить безопасность сайта