内存安全周报第92期 | 黑客利用内置实用程序获得SQL服务器无文件持久性

新闻中心 > 新闻详情

2022 年 5 月 23 日

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 黑客利用内置实用程序获得SQL服务器无文件持久性（5.18）

微软本周二警告称最近发现了一个针对SQL服务器的恶意活动，该活动利用内置的PowerShell二进制文件来在受损的系统上实现持久性。

详细情况

微软在推特中表示，这些入侵利用爆破攻击作为最初的入侵手段，因为使用了“sqlps.exe”工具而受到关注。

这场行动的目标和背后的攻击者目前还不清楚，但微软正在追踪名为“sussqlusage”的恶意软件。

默认情况下，所有版本的SQL服务器都附带了sqlps.exe实用程序，它允许SQL Agent(运行计划任务的Windows服务)使用PowerShell子系统运行作业。

微软指出，攻击者通过生成sqlps.exe实用程序来实现无文件持久性，这是运行SQL构建的cmdlets的PowerShell包装器，可以运行搜索命令，并将SQL服务的启动模式改为LocalSystem。

此外，还发现攻击者使用同一个模块创建了一个具有sysadmin角色的新帐户，从而有效地控制了SQL服务器。

这并不是威胁行为者第一次将已经存在于环境中的合法二进制文件武器化以实现他们的恶意目标，这种技术被称为“脱离现实”(LotL)。

这类攻击的棘手之处在于它们通常为无文件攻击，它们不会留下痕迹，而且由于使用了可信的软件，这些活动不太容易被杀毒软件标记。

微软表示，这类少见的实时二进制(LOLBin)的使用强调了获得脚本运行时行为的完全可见性对于发现恶意代码的重要性。

参考链接

2. 全新网络钓鱼活动使用无文件恶意软件技术（5.19）

安全研究人员观察到一场针对Windows用户的钓鱼活动使用了三种不同的无文件恶意软件来窃取敏感信息。这三个恶意软件被识别为BitRAT、PandoraHVNC和AveMariaRAT。

详细情况

发现这场网络钓鱼活动的是来自Fortinet的研究人员，他们声称攻击者正针对受害者窃取用户名、密码和其他敏感信息，如银行详细信息。

攻击者模拟从真实来源发送的付款报告创建初始钓鱼消息，其中附带一个打开附件Excel文档的简短请求消息。该附件中含有恶意宏，打开后Excel会标记使用宏的潜在安全问题。如果用户忽略该消息并打开文件，就会下载恶意软件。

攻击者利用VBA脚本和PowerShell来检索恶意软件并将恶意软件安装在受害者的设备上。此外，PowerShell代码被分为三个部分，用于三个不同的恶意软件。

VBA代码用于使用复制的mshta[. ]exe命令访问远程HTML文件(APRL27[.]htm)。此文件包含执行的恶意JavaScript代码。

上述三个恶意软件被下载到一个PowerShell文件中以绕过检测，然后使用傀儡进程技术在目标进程中部署和运行。

使用三种不同形式的恶意软件表明攻击者专注于窃取敏感信息。被窃取的信息可能为未来为获取访问权或其他目的而进行的攻击铺平道路。因此，建议部署反网络钓鱼解决方案，并对员工进行培训，以识别网络钓鱼邮件。

参考链接

试用申请