Tin tặc lợi dụng ứng dụng hợp pháp để duy trì truy cập trên các máy chủ SQL bị xâm phạm

Mới đây, Microsoft đã phát hiện một chiến dịch độc hại nhắm mục tiêu vào máy chủ SQL sử dụng một tệp nhị phân PowerShell để duy trì truy cập trên các hệ thống bị xâm phạm.

Microsoft cho biết cuộc xâm nhập bắt đầu bằng các tấn công brute-force và gây chú ý với việc chúng sử dụng tiện ích "sqlps.exe".

Mục tiêu cuối cũng như danh tính của kẻ tấn công hiện vẫn chưa được phát hiện. Microsoft đang tiếp tục theo dõi phần mềm độc hại dưới tên "SuspSQLUsage".

Theo mặc định trên tất cả các phiên bản máy chủ SQL, tiện ích sqlps.exe cho phép SQL Agent- một ứng dụng Windows dùng để chạy các chương trình đã được lập lịch, chạy các tác vụ bằng PowerShell subsystem.

"Kẻ tấn công đã tạo ra tiện ích sqlps.exe dùng để chạy các lệnh recon và thay đổi chế độ khởi động của dịch vụ SQL thành LocalSystem nhằm duy trì hoạt động trong trường hợp máy chủ bị khởi động lại".

Ngoài ra, những kẻ tấn công cũng tạo một tài khoản mới với quyền sysadmin, giúp chúng có thể chiếm quyền kiểm soát SQL Server một cách hiệu quả.

Đây không phải lần đầu tiên các tác nhân đe dọa lợi dụng các tệp nhị phân hợp pháp có sẵn [kỹ thuật này được gọi là living-off-the-land binary (LotL)] để đạt được các mục tiêu bất chính của chúng.

Các cuộc tấn công như vậy thường không để lại bất kỳ dấu vết nào và các hoạt động này ít khả năng bị phần mềm chống vi-rút phát hiện do nó được thực hiện bởi ứng dụng đáng tin cậy.

Phương pháp này cho phép kẻ tấn công ẩn trốn vào các hoạt động mạng và tác vụ quản trị thông thường để thực hiện các hành vi độc hại.

Microsoft cho biết “việc sử dụng living-off-the-land binary (LOLBin) làm nổi bật tầm quan trọng của việc kiểm tra, phân tích đầy đủ runtime behavior của một ứng dụng trong việc phát hiện mã độc hại”.

Nguồn: thehackernews.com.