Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Встроенная утилита на целевых SQL-серверах позволяет хакерам закрепляться в системе без сторонних файлов

20/05/22

SQLВо вторник компания Microsoft сообщила о обнаружении активной хакерской кампании, использующей исполняемый файл PowerShell целевых SQL-серверов для закрепления во взломанных системах.

Новые атаки с методом полного перебора отличаются от старых использованием утилиты sqlps.exe , как сообщила компания в официальном Twitter-аккаунте. Цели и организаторы вредоносной кампании неизвестны. Microsoft отслеживает вредоносное ПО под названием SuspSQLUsage .

Утилита sqlps.exe по умолчанию поставляется со всеми версиями SQL Servers и позволяет SQL Agent (службе для выполнения запланированных задач) запускать задания с помощью подсистемы PowerShell.

"Злоумышленники пытаются закрепиться в системе без сторонних файлов, вызывая утилиту sqlps.exe – оболочку PowerShell для запуска встроенных в SQL команд. После этого хакеры выполняют разведку и изменяют режим запуска службы SQL на LocalSystem.", – отметили в Microsoft.

Кроме того, злоумышленники были замечены в использовании sqlps.exe для создания новой учетной записи с правами системного администратора . что позволяет получить полный контроль над SQL-сервером.

Это уже не первый случай, когда злоумышленники пользуются LotL-атакой для достижения своих гнусных целей.

Атака Living of the Land (LotL) – это атака с использованием легитимных файлов, процессов и функций целевой системы. Ее преимуществом является отсутствие каких-либо сторонних файлов, ведь злоумышленники просто сливаются с обычной сетевой активностью и административными задачами, получая возможность скрываться в системе на протяжении очень долгого времени..

"Использование столь необычного исполняемого файла в LotL-атаке подчеркивает важность получения полной информации о поведении скриптов во время их выполнения.", – подвела итоги Microsoft.

Темы:MicrosoftПреступленияСистемы хранения данных (СХД)LotL-атаки
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...