Mới đây, Microsoft đã phát hiện một chiến dịch độc hại nhắm mục tiêu vào máy chủ SQL sử dụng một tệp nhị phân PowerShell để duy trì truy cập trên các hệ thống bị xâm phạm.
Microsoft cho biết cuộc xâm nhập bắt đầu bằng các tấn công brute-force và gây chú ý với việc chúng sử dụng tiện ích "sqlps.exe".
Mục tiêu cuối cũng như danh tính của kẻ tấn công hiện vẫn chưa được phát hiện. Microsoft đang tiếp tục theo dõi phần mềm độc hại dưới tên "SuspSQLUsage".
Theo mặc định trên tất cả các phiên bản máy chủ SQL, tiện ích sqlps.exe cho phép SQL Agent- một ứng dụng Windows dùng để chạy các chương trình đã được lập lịch, chạy các tác vụ bằng PowerShell subsystem.
"Kẻ tấn công đã tạo ra tiện ích sqlps.exe dùng để chạy các lệnh recon và thay đổi chế độ khởi động của dịch vụ SQL thành LocalSystem nhằm duy trì hoạt động trong trường hợp máy chủ bị khởi động lại".
Ngoài ra, những kẻ tấn công cũng tạo một tài khoản mới với quyền sysadmin, giúp chúng có thể chiếm quyền kiểm soát SQL Server một cách hiệu quả.
Đây không phải lần đầu tiên các tác nhân đe dọa lợi dụng các tệp nhị phân hợp pháp có sẵn [kỹ thuật này được gọi là living-off-the-land binary (LotL)] để đạt được các mục tiêu bất chính của chúng.
Các cuộc tấn công như vậy thường không để lại bất kỳ dấu vết nào và các hoạt động này ít khả năng bị phần mềm chống vi-rút phát hiện do nó được thực hiện bởi ứng dụng đáng tin cậy.
Phương pháp này cho phép kẻ tấn công ẩn trốn vào các hoạt động mạng và tác vụ quản trị thông thường để thực hiện các hành vi độc hại.
Microsoft cho biết “việc sử dụng living-off-the-land binary (LOLBin) làm nổi bật tầm quan trọng của việc kiểm tra, phân tích đầy đủ runtime behavior của một ứng dụng trong việc phát hiện mã độc hại”.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Biến thể mới của botnet srv đang khai thác các lỗ hổng bảo mật trong các ứng dụng web và cơ sở dữ liệu để cài đặt các công cụ khai thác tiền điện tử trên cả hệ thống Windows và Linux.
Tín nhiệm mạng | Phát hiện hơn 200 ứng dụng Android giả mạo các ứng dụng fitness, chỉnh sửa ảnh và giải đố nhằm phát tán phần mềm gián điệp Facestealer để lấy thông tin đăng nhập và các thông tin khác của người dùng.
Tín nhiệm mạng | Một phân tích bảo mật đầu tiên về chức năng Find My của iOS đã phát hiện phương pháp tấn công mới cho phép giả mạo firmware và tải phần mềm độc hại, có thể thực thi ngay cả khi iPhone đang tắt.
Tín nhiệm mạng | SonicWall đã đưa ra cảnh báo về ba lỗ hổng bảo mật trong các thiết bị Secure Mobile Access (SMA) 1000, trong đó có một lỗ hổng mức cao cho phép bỏ qua xác thực.
Tín nhiệm mạng | Một framework post-exploitation mới có tên là IceApple đã được triển khai trên các máy chủ Microsoft Exchange cho phép kẻ tấn công thu thập và lấy cắp dữ liệu.
Tín nhiệm mạng | EU đã đề xuất quy định mới yêu cầu các công ty công nghệ rà quét nội dung lạm dụng tình dục trẻ em (CSAM), điều này làm dấy lên lo ngại rằng nó có thể làm suy yếu mã hóa end-to-end