Microsoft warns of attacks targeting MSSQL servers using the tool sqlps
마이크로소프트가 MSSQL 서버를 노린 새로운 해킹 캠페인에 대해 경고했습니다.
공격자들이 적절히 보호되지 않는 인스턴스에 브루트포싱 공격을 시작한 것으로 나타났습니다.
이 공격은 일종의 SQL Server PowerShell 파일이자 합법적인 툴인 sqlps.exe를 자급자족형 바이너리(LOLBin)로 사용합니다.
마이크로소프트는 트위터를 통해 해당 공격에 대해 경고했지만, 공격자를 특정하지는 않았습니다.
sqlps.exe 유틸리티는 마이크로소프트에서 SQL 빌드 cmdlet을 실행하기 위한 PowerShell 래퍼라 설명할 수 있습니다.
또한 공격자는 sqlps.exe를 통해 sysadmin 역할에 새로운 계정을 추가해 SQL 서버 인스턴스를 완전히 제어할 수 있습니다. 이후 공격자는 악성코드 배포 등 다른 악성 작업을 수행할 수 있습니다.
이 공격은 파일이 없는 ‘파일리스’ 방식으로 이루어지며, 악성코드 방지 솔루션을 우회하여 타깃 시스템에 흔적을 남기지 않습니다.
전문가들은 sqlps 툴을 사용할 경우 처리하는 모든 스크립트 블록의 내용을 기록하는 데 사용되는 Script Blocmdletck 로깅을 우회할 수 있다고 지적했습니다.
전문가들은 MSSQL 서버를 온라인에 노출하지 말고, 이를 강력한 관리자 크리덴셜을 통해 보호하고, 최신 보안 업데이트를 적용하고, 로깅을 활성화해 잠재적 공격 패턴을 모니터링할 것을 권장했습니다.
출처:
https://securityaffairs.co/wordpress/131418/hacking/mssql-servers-attacks.html
Microsoft, AD 인증 문제를 해결하기 위해 긴급 업데이트 진행 (0) | 2022.05.20 |
---|---|
마이크로소프트, 리눅스 XorDDoS 악성코드 활동이 급증했다고 밝혀 (0) | 2022.05.20 |
미 국토안보부, 연방 기관에 VMware 버그 5일 이내에 패치하도록 명령해 (0) | 2022.05.19 |
플레이 스토어의 앱 200개 이상, Facestealer 인포 스틸러 배포해 (0) | 2022.05.18 |
OpenSSL 보안 취약점(CVE-2022-1473, CVE-2022-1434, CVE-2022-1343, CVE-2022-1292) 주의! (0) | 2022.05.18 |
댓글 영역