0
0
A Microsoft Security Intelligence tuitou esta semana um aviso sobre uma campanha de ataque direcionada a servidores SQL e usando uma nova abordagem para evitar o monitoramento do PowerShell.
Em vez do PowerShell, esses atores de ameaças estão usando sqlps.exe, um utilitário que vem de série com cada versão do SQL e funciona como um “invólucro para executar CMDlets construídos em SQL, para executar comandos e alterar o modo de partida do serviço SQL para LocalSystem”, explicou a Microsoft em um thread de tweet. A nova campanha começa com um ataque de força bruta e, finalmente, permite que os invasores assumam os servidores alvo e implantem malwares como mineradores de moedas.
Os defensores devem tomar nota da cooptação dos sqlps.exe utilitário e começar a monitorar seus ambientes de servidor SQL para seu uso tão de perto quanto eles fazem com o PowerShell, de acordo com os tweets consultivos da equipe de Inteligência de Segurança da Microsoft.
“O uso desse binário incomum (LOLBin) destaca a importância de obter plena visibilidade sobre o comportamento de tempo de execução dos scripts, a fim de expor códigos maliciosos”, disse a equipe.
FONTE: DARK READING