Peretas Mendapatkan Kegigihan Tanpa File di Server SQL yang Ditargetkan Menggunakan Utilitas Bawaan

SQL Servers

Microsoft pada hari Selasa memperingatkan bahwa mereka baru-baru ini melihat kampanye jahat yang menargetkan SQL Server yang memanfaatkan biner PowerShell bawaan untuk mencapai kegigihan pada sistem yang disusupi.

Intrusi, yang memanfaatkan serangan brute-force sebagai vektor kompromi awal, menonjol karena penggunaan utilitas “sqlps.exe,” raksasa teknologi dikatakan dalam serangkaian tweet.

Tujuan akhir dari kampanye tidak diketahui, begitu juga identitas aktor ancaman yang mementaskannya. Microsoft melacak malware dengan nama “SuspSQLUsage.”

Utilitas sqlps.exe, yang datang secara default dengan semua versi SQL Server, memungkinkan Agen SQL — layanan Windows untuk menjalankan tugas terjadwal — untuk menjalankan pekerjaan menggunakan subsistem PowerShell.

“Para penyerang mencapai ketekunan tanpa file dengan memunculkan utilitas sqlps.exe, pembungkus PowerShell untuk menjalankan cmdlet yang dibuat SQL, untuk menjalankan perintah pengintaian dan mengubah mode mulai layanan SQL ke LocalSystem,” Microsoft mencatat.

SQL Server

Selain itu, penyerang juga telah diamati menggunakan modul yang sama untuk membuat akun baru dengan peran sysadmin, yang secara efektif memungkinkan untuk mengambil kendali atas SQL Server.

Ini bukan pertama kalinya aktor ancaman mempersenjatai binari sah yang sudah ada di lingkungan, teknik yang disebut living-off-the-land (LotL), untuk mencapai tujuan jahat mereka.

Keamanan cyber

Keuntungan yang ditawarkan oleh serangan semacam itu adalah bahwa mereka cenderung tanpa file karena tidak meninggalkan artefak apa pun dan aktivitasnya cenderung tidak ditandai oleh perangkat lunak antivirus karena mereka menggunakan perangkat lunak tepercaya.

Related Post :   Microsoft Memperingatkan Skimmer Web yang Meniru Google Analytics dan Kode Meta Pixel

Idenya adalah untuk memungkinkan penyerang untuk berbaur dengan aktivitas jaringan biasa dan tugas administratif normal, sambil tetap tersembunyi untuk waktu yang lama.

“Penggunaan biner hidup-off-the-land (LOLBin) yang tidak biasa ini menyoroti pentingnya mendapatkan visibilitas penuh ke dalam perilaku runtime skrip untuk mengekspos kode berbahaya,” kata Microsoft.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.