Bezplikowe złośliwe oprogramowanie poza siecią?

W ciągu ostatniego roku bezplikowe złośliwe oprogramowanie było bardzo popularnym tematem w środowisku cyberbezpieczeństwa. Malware stał się jedną z najbardziej znanych kategorii. Według Cisco ataki tego typu były najczęstszym zagrożeniem dla Endpointów (pierwsza połowa 2020 roku). By skutecznie przeciwdziałać złośliwemu oprogramowaniu, organizacje muszą zrozumieć jego praktyczne działanie. Marc Laliberte, starszy analityk ds. bezpieczeństwa,  w jednym ze swoich najnowszych artykułów dla Help Net Security dąży do zgłębienia tego tematu. Nawiązuje do tekstu WatchGuarda Anatomy of an Endpoint Attack. Omawia on podstawy dotyczące bezplikowego, złośliwego oprogramowania, badając rzeczywistą infekcję, którą WatchGuard Threat Lab powstrzymał.

WatchGuard Threat Lab z powodzeniem zidentyfikował infekcję, która wykorzystywała drugą technikę. Zbadano alert wygenerowany przez konsolę Panda AD360, połączono wskaźniki oraz telemetrię z Endpointów serwera w środowisku “niedoszłej” ofiary. Ta konkretna infekcja miała nietypowy punkt wejścia: Microsoft SQL należący do ofiary. Chociaż podstawową rolą SQL Server jest przede wszystkim przechowywanie rekordów danych, zawiera on również procedury zdolne do wykonywania poleceń systemowych na serwerze. Najlepsze praktyki Microsoftu zalecają używanie kont z ograniczonymi uprawnieniami. Nadal jednak wielu administratorów wdraża SQL Server z podwyższonymi przywilejami konta. Niestety daje to szansę aplikacji baz danych i wszystkim uruchomionym przez nią poleceniom, dlatego można swobodnie zapanować nad serwerem. Jeden z przykładów: przed rozpoczęciem ataku, cyberprzestępca uzyskuje dostęp do poświadczeń i  Servera SQL. Najprawdopodobniej udaje mu się to poprzez wysłanie wiadomości typu spear-phishing lub brute-forcing. Później atakuje słabe dane uwierzytelniające. Tym samym uzyskuje dostęp do wykonywania poleceń SQL i tak naprawdę ma kilka możliwości ich uruchomienia.