Microsoft: Neue Masche zur Erkennungsumgehung bei MSSQL-Angriffen

Microsofts Sicherheitsteams warnen vor Angriffen auf MSSQL, die nach initialem Einbruch nicht mehr Powershell zur weiteren Ausbreitung nutzen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge
Aufmacher SQL-Angreifer umgehen Powershell-Erkennung

(Bild: vectorfusionart/Shutterstock.com)

Von
  • Dirk Knop

Neue Angriffstaktiken haben Microsofts Sicherheitsteams bei Attacken auf SQL-Datenbanken beobachtet. Während der initiale Einbruch weiterhin über bekannte Brute-Force-Angriffe auf Login-Daten funktioniert, versuchten die Cyberkriminellen nun, die Erkennung der unbefugten Nutzung von Powershell auszuhebeln.

Wie die Sicherheitsforscher auf Twitter mitteilen, haben die Angreifer jetzt das bei der MSSQL-Datenbank mitgelieferte Tool sqlps.exe genutzt, um sich weiter in den Systemen auszubreiten. Damit umgingen sie die Erkennung durch die Überwachung der Nutzung von Powershell, die XDR-Systeme (Extended Detection and Response) oftmals anbieten.

Um sich ohne das Anlegen von Dateien zu verankern, nutzten sie sqlps.exe. Dabei handele es sich um einen Powershell-Wrapper zum Ausführen von SQL-Commandlets. Damit setzten sie Befehle zum Ausspähen von Systeminformationen sowie zum Ändern des Start-Modus des SQL-Dienstes als LocalSystem ein.

Durch den sqlps.exe-Befehl haben die Angreifer zudem ein neues Konto angelegt und es der SysAdmin-Rolle zugeordnet. Das erlaubt ihnen, die volle Kontrolle über den SQL-Server zu übernehmen. Sie erhalten damit die Möglichkeit, andere Aktionen auszuführen – einschließlich des Ausführens von Schadsoftware wie Krypto-Minern zum Schürfen von Kryptowährungen.

Diese ungewöhnliche Nutzung der sogenannten Living-off-the-Land-(LotL)-Dateien, also das Ausführen schädlicher Aktionen mit den im System bereits vorhandenen Tools, erfordere, das Laufzeitverhalten von Skripten zum Aufdecken von bösartigem Code zu untersuchen, ergänzen Microsofts Forscher.

Solche LotL-Methoden sind inzwischen regelmäßig anzutreffen. So konnten Cyberkriminelle etwa die Backdoor "Quietexit" bis zu 18 Monate vor der Entdeckung verstecken, wie kürzlich bekannt wurde.

(dmk)