Neue Angriffstaktiken haben Microsofts Sicherheitsteams bei Attacken auf SQL-Datenbanken beobachtet. Während der initiale Einbruch weiterhin über bekannte Brute-Force-Angriffe auf Login-Daten funktioniert, versuchten die Cyberkriminellen nun, die Erkennung der unbefugten Nutzung von Powershell auszuhebeln. Wie die Sicherheitsforscher auf Twitter mitteilen, haben die Angreifer jetzt das bei der MSSQL-Datenbank mitgelieferte Tool sqlps.exe genutzt, um sich weiter in den Systemen auszubreiten. Damit umgingen sie die Erkennung durch die Überwachung der Nutzung von Powershell, die XDR-Systeme (Extended Detection and Response) oftmals anbieten. Um sich ohne das Anlegen von Dateien zu verankern, nutzten sie sqlps.exe. Dabei handele es sich um einen Powershell-Wrapper zum Ausführen von SQL-Commandlets. Damit setzten sie Befehle zum Ausspähen von Systeminformationen sowie zum Ändern des Start-Modus des SQL-Dienstes als LocalSystem ein. Durch den sqlps.exe-Befehl haben die Angreifer zudem ein neues Konto angelegt und es der SysAdmin-Rolle zugeordnet. Das erlaubt ihnen, die volle Kontrolle über den SQL-Server zu übernehmen. Sie erhalten damit die Möglichkeit, andere Aktionen auszuführen – einschließlich des Ausführens von Schadsoftware wie Krypto-Minern zum Schürfen von Kryptowährungen. Diese ungewöhnliche Nutzung der sogenannten Living-off-the-Land-(LotL)-Dateien, also das Ausführen schädlicher Aktionen mit den im System bereits vorhandenen Tools, erfordere, das Laufzeitverhalten von Skripten zum Aufdecken von bösartigem Code zu untersuchen, ergänzen Microsofts Forscher. Solche LotL-Methoden sind inzwischen regelmäßig anzutreffen. So konnten Cyberkriminelle etwa die Backdoor „Quietexit“ bis zu 18 Monate vor der Entdeckung verstecken, wie kürzlich bekannt wurde.
