Microsoft waarschuwde dinsdag dat het onlangs een kwaadaardige campagne heeft gespot die is gericht op SQL-servers die gebruikmaakt van een ingebouwd PowerShell-binair bestand om persistentie op gecompromitteerde systemen te bereiken.
De inbraken, die brute-force-aanvallen gebruiken als een eerste compromisvector, vallen op door hun gebruik van het hulpprogramma “sqlps.exe“, de techgigant zei in een reeks tweets.
De uiteindelijke doelen van de campagne zijn onbekend, evenals de identiteit van de dreigingsactor die de campagne organiseert. Microsoft volgt de malware onder de naam “SuspSQLUsage.”
Het hulpprogramma sqlps.exe, dat standaard bij alle versies van SQL Servers wordt geleverd, stelt een SQL Agent – een Windows-service om geplande taken uit te voeren – in staat om taken uit te voeren met behulp van het PowerShell-subsysteem.
“De aanvallers bereiken bestandsloze persistentie door het hulpprogramma sqlps.exe, een PowerShell-wrapper voor het uitvoeren van door SQL gebouwde cmdlets, uit te spawnen om recon-opdrachten uit te voeren en de startmodus van de SQL-service te wijzigen in LocalSystem”, merkte Microsoft op.
Bovendien is waargenomen dat de aanvallers dezelfde module gebruiken om een nieuw account aan te maken met sysadmin-rolwaardoor het effectief mogelijk wordt om de controle over de SQL Server te grijpen.
Dit is niet de eerste keer dat dreigingsactoren legitieme binaire bestanden gebruiken die al aanwezig zijn in een omgeving, een techniek genaamd living-off-the-land (LotL), om hun snode doelen te bereiken.
Een voordeel van dergelijke aanvallen is dat ze de neiging hebben om bestandsloos omdat ze geen artefacten achterlaten en de activiteiten minder snel worden gemarkeerd door antivirussoftware omdat ze vertrouwde software gebruiken.
Het idee is om de aanvaller in staat te stellen zich te mengen in normale netwerkactiviteiten en normale administratieve taken, terwijl hij voor langere tijd verborgen blijft.
“Het gebruik van deze ongebruikelijke living-off-the-land binary (LOLBin) benadrukt het belang van het verkrijgen van volledig inzicht in het runtime-gedrag van scripts om kwaadaardige code bloot te leggen”, aldus Microsoft.
