首页 > 安全 > 正文

Microsoft警告使用工具SQLPS针对MSSQL服务器的攻击

最后更新 :2022.05.19

Microsoft警告了针对Microsoft SQL Server(MSSQL)数据库服务器的野蛮攻击攻击。

Microsoft警告说,针对MSSQL服务器的一项新的黑客运动,威胁性参与者正在针对受保护不善的实例发动蛮横的攻击。攻击使用了合法的工具SQLPS.EXE,一种SQL Server PowerShell文件,作为A a lolbin (short for  nbsp; living the-the-the-land Binary二进制二进制)。

Microsoft警告了一系列推文中的攻击,它并不将其归因于特定的威胁参与者。

SQLPS.EXE实用程序被Microsoft描述为PowerShell wrapper,用于运行SQL---

攻击者也使用SQLPS。EXE创建一个新帐户,它们将其添加到Sysadmin角色中,使他们能够完全控制SQL Server。然后,他们获得了执行其他操作的能力,包括部署有效载荷,例如硬币矿工。pic.twitter.com/stxjmdmevc

—Microsoft Security Intelligence(@msftsecintel)2022年5月17日

威胁参与者还使用sqlps.exe创建一个新帐户,它们添加到Sysadmin角色中,使他们能够完全控制SQL Server实例。然后,攻击者能够执行其他恶意动作,例如部署恶意软件。

]防御者通常监测Powershell在其环境中的使用。sqlps.exe实用程序,随附所有v默认情况下,SQL的ERSIONS具有相似的功能,并且同样值得进行审查。专家指出,SQLPS工具的使用允许绕过脚本  script blocmdletck loggging logging logging,用于记录其处理其处理的所有处理内容的内容的内容。

使用这种不常见的野生二进制二进制(LOLBIN)强调了获得脚本的运行时行为以暴露恶意代码的重要性。[123

]—Microsoft Security Intelligence(@msftsecintel)2022年5月17日



 专家建议不要在线公开MSSQL服务器,请使用字符串管理凭据保护它们最新的安全更新,使记录能够监视潜在的攻击模式。

请投票给安全事务,作为最佳欧洲网络安全博客作者奖2022奖励您获奖者在“弱者最佳个人(非商业)安全博客和技术最佳技术博客和您选择的其他人”部分中为我投票。提名,请访问: https:// https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqryjgcryjgcow/viewform

- END -

看更多