Microsoft pada hari Selasa memperingatkan bahwa mereka baru-baru ini melihat kampanye jahat yang menargetkan SQL Server yang memanfaatkan biner PowerShell bawaan untuk mencapai kegigihan pada sistem yang disusupi.
Intrusi yang memanfaatkan serangan brute-force sebagai vektor kompromi awal, menonjol karena penggunaan utilitas “sqlps.exe.”
Tujuan akhir dari kampanye tidak diketahui, begitu juga identitas aktor ancaman yang mementaskannya. Microsoft melacak malware dengan nama “SuspSQLUsage.”
Utilitas sqlps.exe, yang datang secara default dengan semua versi SQL Server, memungkinkan Agen SQL — layanan Windows untuk menjalankan tugas terjadwal — untuk menjalankan pekerjaan menggunakan subsistem PowerShell.
“Para penyerang mencapai ketekunan tanpa file dengan memunculkan utilitas sqlps.exe, pembungkus PowerShell untuk menjalankan cmdlet yang dibuat SQL, untuk menjalankan perintah pengintaian dan mengubah mode mulai layanan SQL ke LocalSystem,” Microsoft mencatat.
Selain itu, penyerang juga telah diamati menggunakan modul yang sama untuk membuat akun baru dengan peran sysadmin, yang secara efektif memungkinkan untuk mengambil kendali atas SQL Server.
Ini bukan pertama kalinya aktor ancaman mempersenjatai binari sah yang sudah ada di lingkungan, teknik yang disebut living-off-the-land (LotL), untuk mencapai tujuan jahat mereka.
Keuntungan yang ditawarkan oleh serangan semacam itu adalah bahwa mereka cenderung tanpa file karena tidak meninggalkan artefak apa pun dan aktivitasnya cenderung tidak ditandai oleh perangkat lunak antivirus karena mereka menggunakan perangkat lunak tepercaya.
Idenya adalah untuk memungkinkan penyerang untuk berbaur dengan aktivitas jaringan biasa dan tugas administratif normal, sambil tetap tersembunyi untuk waktu yang lama.
“Penggunaan biner hidup-off-the-land (LOLBin) yang tidak biasa ini menyoroti pentingnya mendapatkan visibilitas penuh ke dalam perilaku runtime skrip untuk mengekspos kode berbahaya,” kata Microsoft.
Sumber: The Hacker News
