Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Встроенная утилита на целевых SQL-серверах позволяет хакерам закрепляться в системе без сторонних файлов

20/05/22

SQLВо вторник компания Microsoft сообщила о обнаружении активной хакерской кампании, использующей исполняемый файл PowerShell целевых SQL-серверов для закрепления во взломанных системах.

Новые атаки с методом полного перебора отличаются от старых использованием утилиты sqlps.exe , как сообщила компания в официальном Twitter-аккаунте. Цели и организаторы вредоносной кампании неизвестны. Microsoft отслеживает вредоносное ПО под названием SuspSQLUsage .

Утилита sqlps.exe по умолчанию поставляется со всеми версиями SQL Servers и позволяет SQL Agent (службе для выполнения запланированных задач) запускать задания с помощью подсистемы PowerShell.

"Злоумышленники пытаются закрепиться в системе без сторонних файлов, вызывая утилиту sqlps.exe – оболочку PowerShell для запуска встроенных в SQL команд. После этого хакеры выполняют разведку и изменяют режим запуска службы SQL на LocalSystem.", – отметили в Microsoft.

Кроме того, злоумышленники были замечены в использовании sqlps.exe для создания новой учетной записи с правами системного администратора . что позволяет получить полный контроль над SQL-сервером.

Это уже не первый случай, когда злоумышленники пользуются LotL-атакой для достижения своих гнусных целей.

Атака Living of the Land (LotL) – это атака с использованием легитимных файлов, процессов и функций целевой системы. Ее преимуществом является отсутствие каких-либо сторонних файлов, ведь злоумышленники просто сливаются с обычной сетевой активностью и административными задачами, получая возможность скрываться в системе на протяжении очень долгого времени..

"Использование столь необычного исполняемого файла в LotL-атаке подчеркивает важность получения полной информации о поведении скриптов во время их выполнения.", – подвела итоги Microsoft.

Темы:MicrosoftПреступленияSQL-серверыLotL-атаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...