Salı günü Microsoft, yakın zamanda, güvenliği ihlal edilmiş sistemlerde kalıcılık sağlamak için yerleşik bir PowerShell ikili dosyasından yararlanan SQL Sunucularını hedefleyen kötü amaçlı bir kampanya tespit ettiği konusunda uyardı.

İlk uzlaşma vektörü olarak kaba kuvvet saldırılarından yararlanan izinsiz girişler, yardımcı programı kullanmalarıyla öne çıkıyor “sqlps.exe“teknoloji devi dedim bir dizi tweette.

Kampanyanın nihai hedefleri ve onu sahneleyen tehdit aktörünün kimliği bilinmiyor. Microsoft, kötü amaçlı yazılımı “ad altında izliyor”SuspSQLKullanımı

SQL Sunucularının tüm sürümleriyle varsayılan olarak gelen sqlps.exe yardımcı programı, bir SQL Aracısının (zamanlanmış görevleri çalıştıran bir Windows hizmeti) PowerShell alt sistemini kullanarak işleri çalıştırmasını sağlar.

Microsoft, “Saldırganlar, SQL tarafından oluşturulmuş cmdlet’leri çalıştırmak, keşif komutlarını çalıştırmak ve SQL hizmetinin başlangıç ​​modunu LocalSystem olarak değiştirmek için bir PowerShell sarmalayıcısı olan sqlps.exe yardımcı programını oluşturarak dosyasız kalıcılık elde ediyor” dedi.

SQL Sunucuları

Ek olarak, saldırganların aynı modülü kullanarak yeni bir hesap oluşturmak için kullandıkları da gözlemlenmiştir. sistem yöneticisi rolüSQL Server üzerindeki kontrolü ele geçirmeyi ve kripto para madencileri gibi yükleri dağıtmayı etkili bir şekilde mümkün kılar.

Bu, tehdit aktörlerinin hain hedeflerine ulaşmak için bir ortamda halihazırda bulunan meşru ikili dosyaları, arazi dışında yaşamak (LotL) adı verilen bir teknikle silahlandırdığı ilk sefer değil.

Bu tür saldırıların sunduğu bir avantaj, olma eğiliminde olmalarıdır. dosyasız çünkü arkalarında herhangi bir yapı bırakmazlar ve güvenilir yazılım kullanmaları nedeniyle etkinliklerin virüsten koruma yazılımı tarafından işaretlenme olasılığı daha düşüktür.

Buradaki fikir, saldırganın uzun süreler boyunca gizli kalırken normal ağ etkinliğine ve normal yönetim görevlerine uyum sağlamasına izin vermektir.

Microsoft, “Bu nadir görülen arazi dışında yaşayan ikili dosyasının (LOLBin) kullanılması, kötü amaçlı kodları açığa çıkarmak için komut dosyalarının çalışma zamanı davranışına tam görünürlük kazanmanın önemini vurgulamaktadır.” Dedi.



siber-2