마이크로소프트, sqlps 툴을 사용해 MSSQL 서버를 노리는 공격 경고해

Microsoft warns of attacks targeting MSSQL servers using the tool sqlps

 

마이크로소프트가 MSSQL 서버를 노린 새로운 해킹 캠페인에 대해 경고했습니다.

 

공격자들이 적절히 보호되지 않는 인스턴스에 브루트포싱 공격을 시작한 것으로 나타났습니다.

 

이 공격은 일종의 SQL Server PowerShell 파일이자 합법적인 툴인 sqlps.exe를 자급자족형 바이너리(LOLBin)로 사용합니다.

 

마이크로소프트는 트위터를 통해 해당 공격에 대해 경고했지만, 공격자를 특정하지는 않았습니다.

 

sqlps.exe 유틸리티는 마이크로소프트에서 SQL 빌드 cmdlet을 실행하기 위한 PowerShell 래퍼라 설명할 수 있습니다.

 

 

<이미지 출처: https://twitter.com/MsftSecIntel/status/1526680351858475008>

 

또한 공격자는 sqlps.exe를 통해 sysadmin 역할에 새로운 계정을 추가해 SQL 서버 인스턴스를 완전히 제어할 수 있습니다. 이후 공격자는 악성코드 배포 등 다른 악성 작업을 수행할 수 있습니다.

 

이 공격은 파일이 없는 ‘파일리스’ 방식으로 이루어지며, 악성코드 방지 솔루션을 우회하여 타깃 시스템에 흔적을 남기지 않습니다.

 

 

<이미지 출처: https://twitter.com/MsftSecIntel/status/1526680337216114693>

 

 

전문가들은 sqlps 툴을 사용할 경우 처리하는 모든 스크립트 블록의 내용을 기록하는 데 사용되는 Script Blocmdletck 로깅을 우회할 수 있다고 지적했습니다.

 

 

<이미지 출처: https://twitter.com/MsftSecIntel/status/1526680359693336578>

 

전문가들은 MSSQL 서버를 온라인에 노출하지 말고, 이를 강력한 관리자 크리덴셜을 통해 보호하고, 최신 보안 업데이트를 적용하고, 로깅을 활성화해 잠재적 공격 패턴을 모니터링할 것을 권장했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/131418/hacking/mssql-servers-attacks.html

https://twitter.com/MsftSecIntel/status/1526680351858475008