Microsoft hat am Dienstag davor gewarnt, dass es kürzlich eine bösartige Kampagne entdeckt hat, die auf SQL Server abzielt und eine eingebaute PowerShell-Binärdatei ausnutzt, um sich auf kompromittierten Systemen zu halten.
Die Eindringlinge, die Brute-Force-Angriffe als ersten Angriffsvektor nutzen, zeichnen sich durch die Verwendung des Dienstprogramms „sqlps.exe“ aus, so der Tech-Riese in einer Reihe von Tweets.
Die eigentlichen Ziele der Kampagne sind unbekannt, ebenso wie die Identität des Angreifers. Microsoft verfolgt die Malware unter dem Namen „SuspSQLUsage“.
Das Dienstprogramm sqlps.exe, das standardmäßig mit allen Versionen von SQL-Servern geliefert wird, ermöglicht es einem SQL-Agenten – einem Windows-Dienst zur Ausführung geplanter Aufgaben -, Aufträge mithilfe des PowerShell-Subsystems auszuführen.
„Die Angreifer erreichen dateilose Persistenz, indem sie das Dienstprogramm sqlps.exe, einen PowerShell-Wrapper zur Ausführung von SQL-Cmdlets, starten, um Aufklärungsbefehle auszuführen und den Startmodus des SQL-Dienstes in LocalSystem zu ändern“, so Microsoft.
Außerdem wurden die Angreifer dabei beobachtet, wie sie mit demselben Modul ein neues Konto mit der Rolle des Systemadministrators erstellten und damit die Kontrolle über den SQL Server übernahmen.
Es ist nicht das erste Mal, dass Bedrohungsakteure legitime Binärdateien, die bereits in einer Umgebung vorhanden sind, als Waffe einsetzen, um ihre schändlichen Ziele zu erreichen – eine Technik, die als „living-off-the-land“ (LotL) bezeichnet wird.
Ein Vorteil solcher Angriffe ist, dass sie in der Regel ohne Dateien ablaufen, da sie keine Artefakte hinterlassen und die Aktivitäten von Antivirensoftware weniger wahrscheinlich erkannt werden, da sie vertrauenswürdige Software verwenden.
Die Idee dahinter ist, dass der Angreifer sich in die regulären Netzwerkaktivitäten und normalen Verwaltungsaufgaben einmischt und für längere Zeit im Verborgenen bleibt.
„Die Verwendung dieser ungewöhnlichen LOLBin-Datei zeigt, wie wichtig es ist, das Laufzeitverhalten von Skripten vollständig zu durchschauen, um bösartigen Code zu entlarven“, so Microsoft.