Microsoft: Neue Masche zur Erkennungsumgehung bei MSSQL-Angriffen

Microsofts Sicherheitsteams warnen vor Angriffen auf MSSQL, die nach initialem Einbruch nicht mehr Powershell zur weiteren Ausbreitung nutzen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Aufmacher SQL-Angreifer umgehen Powershell-Erkennung

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 2 Min.
Von

Neue Angriffstaktiken haben Microsofts Sicherheitsteams bei Attacken auf SQL-Datenbanken beobachtet. Während der initiale Einbruch weiterhin über bekannte Brute-Force-Angriffe auf Login-Daten funktioniert, versuchten die Cyberkriminellen nun, die Erkennung der unbefugten Nutzung von Powershell auszuhebeln.

Wie die Sicherheitsforscher auf Twitter mitteilen, haben die Angreifer jetzt das bei der MSSQL-Datenbank mitgelieferte Tool sqlps.exe genutzt, um sich weiter in den Systemen auszubreiten. Damit umgingen sie die Erkennung durch die Überwachung der Nutzung von Powershell, die XDR-Systeme (Extended Detection and Response) oftmals anbieten.

Um sich ohne das Anlegen von Dateien zu verankern, nutzten sie sqlps.exe. Dabei handele es sich um einen Powershell-Wrapper zum Ausführen von SQL-Commandlets. Damit setzten sie Befehle zum Ausspähen von Systeminformationen sowie zum Ändern des Start-Modus des SQL-Dienstes als LocalSystem ein.

Durch den sqlps.exe-Befehl haben die Angreifer zudem ein neues Konto angelegt und es der SysAdmin-Rolle zugeordnet. Das erlaubt ihnen, die volle Kontrolle über den SQL-Server zu übernehmen. Sie erhalten damit die Möglichkeit, andere Aktionen auszuführen – einschließlich des Ausführens von Schadsoftware wie Krypto-Minern zum Schürfen von Kryptowährungen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Diese ungewöhnliche Nutzung der sogenannten Living-off-the-Land-(LotL)-Dateien, also das Ausführen schädlicher Aktionen mit den im System bereits vorhandenen Tools, erfordere, das Laufzeitverhalten von Skripten zum Aufdecken von bösartigem Code zu untersuchen, ergänzen Microsofts Forscher.

Solche LotL-Methoden sind inzwischen regelmäßig anzutreffen. So konnten Cyberkriminelle etwa die Backdoor "Quietexit" bis zu 18 Monate vor der Entdeckung verstecken, wie kürzlich bekannt wurde.

(dmk)