zurück zum Artikel

Microsoft: Neue Masche zur Erkennungsumgehung bei MSSQL-Angriffen

Dirk Knop
Aufmacher SQL-Angreifer umgehen Powershell-Erkennung

(Bild: vectorfusionart/Shutterstock.com)

Microsofts Sicherheitsteams warnen vor Angriffen auf MSSQL, die nach initialem Einbruch nicht mehr Powershell zur weiteren Ausbreitung nutzen.

Neue Angriffstaktiken haben Microsofts Sicherheitsteams bei Attacken auf SQL-Datenbanken beobachtet. Während der initiale Einbruch weiterhin über bekannte Brute-Force-Angriffe auf Login-Daten funktioniert, versuchten die Cyberkriminellen nun, die Erkennung der unbefugten Nutzung von Powershell auszuhebeln.

Wie die Sicherheitsforscher auf Twitter mitteilen, haben die Angreifer jetzt das bei der MSSQL-Datenbank mitgelieferte Tool sqlps.exe genutzt, um sich weiter in den Systemen auszubreiten. Damit umgingen sie die Erkennung durch die Überwachung der Nutzung von Powershell, die XDR-Systeme (Extended Detection and Response) oftmals anbieten.

Um sich ohne das Anlegen von Dateien zu verankern, nutzten sie sqlps.exe. Dabei handele es sich um einen Powershell-Wrapper zum Ausführen von SQL-Commandlets. Damit setzten sie Befehle zum Ausspähen von Systeminformationen sowie zum Ändern des Start-Modus des SQL-Dienstes als LocalSystem ein.

Durch den sqlps.exe-Befehl haben die Angreifer zudem ein neues Konto angelegt und es der SysAdmin-Rolle zugeordnet. Das erlaubt ihnen, die volle Kontrolle über den SQL-Server zu übernehmen. Sie erhalten damit die Möglichkeit, andere Aktionen auszuführen – einschließlich des Ausführens von Schadsoftware wie Krypto-Minern zum Schürfen von Kryptowährungen.

Diese ungewöhnliche Nutzung der sogenannten Living-off-the-Land-(LotL)-Dateien, also das Ausführen schädlicher Aktionen mit den im System bereits vorhandenen Tools, erfordere, das Laufzeitverhalten von Skripten zum Aufdecken von bösartigem Code zu untersuchen, ergänzen Microsofts Forscher.

Solche LotL-Methoden sind inzwischen regelmäßig anzutreffen. So konnten Cyberkriminelle etwa die Backdoor "Quietexit" bis zu 18 Monate vor der Entdeckung verstecken, wie kürzlich bekannt wurde [1].

(dmk [2])


URL dieses Artikels:
https://www.heise.de/-7099811

Links in diesem Artikel:
[1] https://www.heise.de/news/Spyware-blieb-in-Unternehmen-bis-zu-18-Monate-lang-unentdeckt-7074066.html
[2] mailto:dmk@heise.de