{"id":19489,"date":"2022-05-18T17:52:52","date_gmt":"2022-05-18T20:52:52","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19489"},"modified":"2022-05-18T17:52:52","modified_gmt":"2022-05-18T20:52:52","slug":"hackers-ganham-persistencia-em-servidores-sql","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/hackers-ganham-persistencia-em-servidores-sql\/","title":{"rendered":"Hackers ganham persist\u00eancia em servidores SQL"},"content":{"rendered":"\n\n\n

Hackers ganham persist\u00eancia sem arquivos em servidores SQL direcionados usando um utilit\u00e1rio integrado<\/span><\/h1>\n

\u00a0<\/p>\n

A Microsoft alertou na ter\u00e7a-feira que detectou recentemente uma campanha maliciosa direcionada a SQL Servers que aproveita um bin\u00e1rio PowerShell integrado para obter persist\u00eancia em sistemas comprometidos.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

As invas\u00f5es, que utilizam ataques de for\u00e7a bruta como um vetor de comprometimento inicial, se destacam pelo uso do utilit\u00e1rio ” <\/span>sqlps.exe “, informou<\/span> a gigante da tecnologia em uma s\u00e9rie de tweets.<\/span><\/p>\n

\u00a0<\/p>\n

Os objetivos finais da campanha s\u00e3o desconhecidos, assim como a identidade do agente da amea\u00e7a que a encena. A Microsoft est\u00e1 rastreando o malware sob o nome ” <\/span>SuspSQLUsage<\/span> “.<\/span><\/p>\n

\u00a0<\/p>\n

O utilit\u00e1rio sqlps.exe, que vem por padr\u00e3o com todas as vers\u00f5es de SQL Servers, permite que um SQL Agent, um servi\u00e7o do Windows execute tarefas agendadas, bem como execute trabalhos usando o subsistema PowerShell.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\u201cOs invasores obt\u00eam persist\u00eancia sem arquivo gerando o utilit\u00e1rio sqlps.exe, um wrapper do PowerShell para executar cmdlets criados por SQL, para executar comandos de reconhecimento e alterar o modo de in\u00edcio do servi\u00e7o SQL para LocalSystem\u201d, observou a Microsoft.<\/span><\/p>\n

\"Servidores<\/a><\/div>\n
\n

Al\u00e9m disso, os invasores tamb\u00e9m foram observados usando o mesmo m\u00f3dulo para criar uma nova conta com a <\/span><\/span>fun\u00e7\u00e3o sysadmin<\/span><\/span> , possibilitando efetivamente o controle do SQL Server.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Esta n\u00e3o \u00e9 a primeira vez que os atores de amea\u00e7as armam <\/span>bin\u00e1rios leg\u00edtimos<\/span> j\u00e1 presentes em um ambiente, uma t\u00e9cnica chamada living-off-the-land (LotL), para atingir seus objetivos nefastos.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

Uma vantagem oferecida por esses ataques \u00e9 que eles tendem a n\u00e3o ter <\/span><\/span>arquivos<\/span><\/span>, porque n\u00e3o deixam nenhum artefato para tr\u00e1s e as atividades s\u00e3o menos propensas a serem sinalizadas por software antiv\u00edrus devido ao uso de software confi\u00e1vel.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

A ideia \u00e9 permitir que o invasor se misture com a atividade regular da rede e as tarefas administrativas normais, permanecendo oculto por longos per\u00edodos de tempo.<\/span><\/p>\n

\u00a0<\/p>\n

“O uso desse bin\u00e1rio incomum de vida fora da terra (LOLBin) destaca a import\u00e2ncia de obter visibilidade total do comportamento de execu\u00e7\u00e3o de scripts para expor c\u00f3digos maliciosos”, informou\u00a0 a Microsoft.<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/05\/hackers-gain-fileless-persistence-on.html\u00a0<\/a> (Autor: Ravie Lakshmanan<\/span><\/span>)<\/p>\n","protected":false},"excerpt":{"rendered":"

Hackers ganham persist\u00eancia sem arquivos em servidores SQL direcionados usando um utilit\u00e1rio integrado \u00a0 A Microsoft alertou na ter\u00e7a-feira que detectou recentemente uma campanha maliciosa direcionada a SQL Servers que aproveita um bin\u00e1rio PowerShell integrado para obter persist\u00eancia em sistemas comprometidos. \u00a0 As invas\u00f5es, que utilizam ataques de for\u00e7a bruta como um vetor de comprometimento […]<\/p>\n","protected":false},"author":2,"featured_media":19490,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19489"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19489\/revisions"}],"predecessor-version":[{"id":19491,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19489\/revisions\/19491"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19490"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}