新型无文件恶意程序曝光，使用内置程序在SQL Server中潜伏

在最近的网络安全研究中发现，一个针对 SQL Server 的恶意活动通过利用内置的 PowerShell 二进制文件在受感染的系统上实现持久化，目前该恶意活动的最终目标是未知的，发起该活动的攻击者身份也是未知的。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，默认情况下所有版本的 SQL Server 都附带 sqlps.exe 应用程序，它使 SQL 代理（一种运行计划任务的 Windows 服务）能够使用 PowerShell 子系统运行任务。该恶意活动因其利用了sqlps.exe而闻名，微软已将该恶意程序命名为SuspSQLUsage。

默认情况下所有版本的 SQL Server 都附带 sqlps.exe 应用程序，它使 SQL 代理（一种运行计划任务的 Windows 服务）能够使用 PowerShell 子系统运行任务。

攻击者通过生成 sqlps.exe 应用程序（用于运行 SQL 构建的 cmdlet 的 PowerShell 包装器）来运行侦察命令，并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件的持久化。

此外，安全研究中还观察到攻击者使用相同的模块创建具有 sysadmin 角色的新帐户，从而有效地控制了 SQL Server。

这不是攻击者第一次将合法的二进制程序文件进行武器化，这种技术被称为离地生活 (LotL)，此类攻击的一个核心优势是它们往往是无文件的，因为它们不会留下任何工件，并且由于它们使用受信任的软件，这些活动不太可能被防病毒软件标记。

这样的攻击手段通常是希望能执行长期的潜伏任务，绕过反病毒机制在服务器中实现持久化，并在关键时刻执行恶意攻击任务。