在最近的网络安全研究中发现,一个针对 SQL Server 的恶意活动通过利用内置的 PowerShell 二进制文件在受感染的系统上实现持久化,目前该恶意活动的最终目标是未知的,发起该活动的攻击者身份也是未知的。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,默认情况下所有版本的 SQL Server 都附带 sqlps.exe 应用程序,它使 SQL 代理(一种运行计划任务的 Windows 服务)能够使用 PowerShell 子系统运行任务。该恶意活动因其利用了sqlps.exe而闻名,微软已将该恶意程序命名为SuspSQLUsage。
默认情况下所有版本的 SQL Server 都附带 sqlps.exe 应用程序,它使 SQL 代理(一种运行计划任务的 Windows 服务)能够使用 PowerShell 子系统运行任务。
攻击者通过生成 sqlps.exe 应用程序(用于运行 SQL 构建的 cmdlet 的 PowerShell 包装器)来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件的持久化。
此外,安全研究中还观察到攻击者使用相同的模块创建具有 sysadmin 角色的新帐户,从而有效地控制了 SQL Server。
这不是攻击者第一次将合法的二进制程序文件进行武器化,这种技术被称为离地生活 (LotL),此类攻击的一个核心优势是它们往往是无文件的,因为它们不会留下任何工件,并且由于它们使用受信任的软件,这些活动不太可能被防病毒软件标记。
这样的攻击手段通常是希望能执行长期的潜伏任务,绕过反病毒机制在服务器中实现持久化,并在关键时刻执行恶意攻击任务。
极牛网精选文章《新型无文件恶意程序曝光,使用内置程序在SQL Server中潜伏》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19414.html