Microsoft Güvenlik İstihbaratı bu hafta, SQL sunucularını hedefleyen ve PowerShell izlemesinden kaçınmak için yeni bir yaklaşım kullanan bir saldırı kampanyası hakkında bir uyarı tweetledi.
Bu tehdit aktörleri, PowerShell yerine, SQL’in her sürümüyle standart olarak gelen ve komutları çalıştırmak ve SQL hizmetinin başlangıç modunu LocalSystem olarak değiştirmek için “SQL tarafından oluşturulmuş CMDlet’leri çalıştırmak için bir sarmalayıcı” olarak işlev gören bir yardımcı program olan sqlps.exe’yi kullanıyor. ,” Microsoft bir tweet dizisinde açıkladı. Yeni kampanya, kaba kuvvet saldırısıyla başlıyor ve nihayetinde saldırganların hedeflenen sunucuları ele geçirmesine ve madeni para madencileri gibi kötü amaçlı yazılımları dağıtmasına izin veriyor.
Microsoft Güvenlik İstihbaratı ekibine göre, savunucular sqlps.exe yardımcı programının birlikte seçilmesini dikkate almalı ve SQL sunucu ortamlarını kullanım için PowerShell için olduğu kadar yakından izlemeye başlamalıdır. tavsiye tweetleri.
Ekip, “Bu nadir görülen arazi dışında yaşayan ikili dosyasının (LOLBin) kullanılması, kötü amaçlı kodları ortaya çıkarmak için komut dosyalarının çalışma zamanı davranışına tam görünürlük kazanmanın önemini vurgulamaktadır” dedi.