微軟警告近日有一種新式攻擊手法,利用合法的sqlps公用程式在SQL Server資料庫系統中進行惡意活動,以避免安全防護軟體的偵測。
微軟安全情報中心指出,和許多其他攻擊一樣,駭客一開始也是利用暴力破解(brute-force)存取系統,但是最新的攻擊很特別的是它首次利用了SQL Server內建的公用程式sqlps.exe,進行離地攻擊(living-off-the-land,LoL)攻擊。
sqlps.exe是執行SQL cmdlet指令的PowerShell wrapper模組,是一種LOLBin 二進位檔,一般用於在LocalSystem中載入SQL 服務。而在這次攻擊中,攻擊者利用它來執行惡意PowerShell指令,而不需擔心被安全軟體偵測到。
微軟表示,攻擊者利用這個合法程式達到無檔案長期滲透的目的,還用它建立新帳號、為其加入系統管理權角色, 藉此接管整臺SQL Server系統,並且可從事其他活動,包括部署挖礦軟體等惡意程式。
微軟指出,最新利用sqlps.exe進行的攻擊突顯掌握script runtime行為的重要性。一般情況下,安全軟體如微軟的Defender會監控PowerShell行為,但是sqlps.exe卻較少被注意到,事實上這個幾乎預設內建於所有SQL Server資料庫產品的公用程式和PowerShell有類似功能,也不得輕忽。
但是以這次攻擊來看,受害者是因SQL Server系統的弱密碼防護而被攻入大門。因此,除了安全軟體監控合法程式的非法行為外,資安新聞網站Bleeping Computer建議系統管理員採用強密碼防護,並注意是否有可疑或經常性登入的意圖。
線