2022
05
27

駭客使用sqlps公用程式鎖定攻擊SQL Server[轉載自IThome]

關鍵字:網頁設計APP開發設計資訊安全系統開發

微軟警告近日有一種新式攻擊手法,利用合法的sqlps公用程式在SQL Server資料庫系統中進行惡意活動,以避免安全防護軟體的偵測。

微軟安全情報中心指出,和許多其他攻擊一樣,駭客一開始也是利用暴力破解(brute-force)存取系統,但是最新的攻擊很特別的是它首次利用了SQL Server內建的公用程式sqlps.exe,進行離地攻擊(living-off-the-land,LoL)攻擊。

sqlps.exe是執行SQL cmdlet指令的PowerShell wrapper模組,是一種LOLBin 二進位檔,一般用於在LocalSystem中載入SQL 服務。而在這次攻擊中,攻擊者利用它來執行惡意PowerShell指令,而不需擔心被安全軟體偵測到。

微軟表示,攻擊者利用這個合法程式達到無檔案長期滲透的目的,還用它建立新帳號、為其加入系統管理權角色, 藉此接管整臺SQL Server系統,並且可從事其他活動,包括部署挖礦軟體等惡意程式。

微軟指出,最新利用sqlps.exe進行的攻擊突顯掌握script runtime行為的重要性。一般情況下,安全軟體如微軟的Defender會監控PowerShell行為,但是sqlps.exe卻較少被注意到,事實上這個幾乎預設內建於所有SQL Server資料庫產品的公用程式和PowerShell有類似功能,也不得輕忽。

但是以這次攻擊來看,受害者是因SQL Server系統的弱密碼防護而被攻入大門。因此,除了安全軟體監控合法程式的非法行為外,資安新聞網站Bleeping Computer建議系統管理員採用強密碼防護,並注意是否有可疑或經常性登入的意圖。

傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策