Microsoft: Neue Masche zur Erkennungsumgehung bei MSSQL-Angriffen

Microsoft: Neue Masche zur Erkennungsumgehung bei MSSQL-Angriffen

Neue Angriffstaktiken haben Microsofts Sicherheitsteams bei Attacken auf SQL-Datenbanken beobachtet. Während der initiale Einbruch weiterhin über bekannte Brute-Force-Angriffe auf Login-Daten funktioniert, versuchten die Cyberkriminellen nun, die Erkennung der unbefugten Nutzung von Powershell auszuhebeln.

Wie die Sicherheitsforscher auf Twitter mitteilen, haben die Angreifer jetzt das bei der MSSQL-Datenbank mitgelieferte Tool sqlps.exe genutzt, um sich weiter in den Systemen auszubreiten. Damit umgingen sie die Erkennung durch die Überwachung der Nutzung von Powershell, die XDR-Systeme (Extended Detection and Response) oftmals anbieten.

Um sich ohne das Anlegen von Dateien zu verankern, nutzten sie sqlps.exe. Dabei handele es sich um einen Powershell-Wrapper zum Ausführen von SQL-Commandlets. Damit setzten sie Befehle zum Ausspähen von Systeminformationen sowie zum Ändern des Start-Modus des SQL-Dienstes als LocalSystem ein.

Durch den sqlps.exe-Befehl haben die Angreifer zudem ein neues Konto angelegt und es der SysAdmin-Rolle zugeordnet. Das erlaubt ihnen, die volle Kontrolle über den SQL-Server zu übernehmen. Sie erhalten damit die Möglichkeit, andere Aktionen auszuführen – einschließlich des Ausführens von Schadsoftware wie Krypto-Minern zum Schürfen von Kryptowährungen.

Diese ungewöhnliche Nutzung der sogenannten Living-off-the-Land-(LotL)-Dateien, also das Ausführen schädlicher Aktionen mit den im System bereits vorhandenen Tools, erfordere, das Laufzeitverhalten von Skripten zum Aufdecken von bösartigem Code zu untersuchen, ergänzen Microsofts Forscher.

Solche LotL-Methoden sind inzwischen regelmäßig anzutreffen. So konnten Cyberkriminelle etwa die Backdoor „Quietexit“ bis zu 18 Monate vor der Entdeckung verstecken, wie kürzlich bekannt wurde.


(dmk)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert