Тактики злоумышленников и методы обнаружения атак через SQLCMD в MS-SQL
Эксплуатация клиентских инструментов в среде MS-SQL: особенности тактик злоумышленников и методы обнаружения
В современном мире киберугроз злоумышленники все активнее используют встроенные клиентские инструменты для доступа и манипуляции с базами данных. Новый отчёт, посвящённый тактикам атак в среде MS-SQL, раскрывает особенности работы злоумышленников с бинарными файлами и показывает, какие следы остаются в системных журналах. Анализ данных позволяет выявить эффективные методы обнаружения и реагирования на подобные инциденты.
Использование инструментов DB в скомпрометированных системах
Злоумышленники при проникновении в систему часто прибегают к использованию living off the land binaries (LOLBINS) — легитимных системных утилит, таких как SQLCMD. Этот инструмент командной строки применяется для резервного копирования баз данных и работы с таблицами в среде MS-SQL, требуя для запуска действительных учётных данных.
- SQLCMD поддерживает два основных режима аутентификации:
- Windows Authentication — основана на локальных учетных записях;
- SQL Authentication — чаще всего с использованием учётной записи SA.
- Действия с базами данных через SQLCMD фиксируются в основных журналах MS-SQL — TRC и стандартном журнале ошибок.
Особенности логирования и трудности обнаружения
В отчёте выделяется ряд важных аспектов, связанных с регистрацией активности злоумышленников:
- На платформах Linux для отслеживания операций экспорта используется файл
Logexport.txt. Однако его основное ограничение — неспособность аккумулировать данные при повторных запусках, что усложняет долгосрочный мониторинг и исторический анализ. - Определённые SQL-запросы, особенно те, которые извлекают табличные данные, могут не оставлять заметных следов в журналах MS-SQL. Это значительно затрудняет криминалистический анализ и выявление злоумышленников.
- Злоумышленники могут создавать пакетные сценарии, которые с помощью SQLCMD извлекают данные из таблиц и сохраняют их в файлах формата
table_name.dat, готовя их к внешней утечке.
Альтернативные методы обнаружения и их важность
Отчёт подчёркивает необходимость использования различных источников журналов и методик для полного понимания масштабов атаки. Так, инструмент SRUM удалось идентифицировать SQLCMD.EXE процесс, который осуществлял обширную передачу данных. Этот факт свидетельствует о прошлых взаимодействиях злоумышленников с базами данных, несмотря на недостаточную полноту стандартных журналов MS-SQL.
Таким образом, комплексный подход к исследованию и мониторингу скомпрометированных серверов MS-SQL включает:
- Анализ логов TRC и стандартных журналов ошибок;
- Мониторинг файлов типа
Logexport.txtдля отслеживания операций в Linux-средах; - Использование сторонних систем и инструментов (например, SRUM) для выявления активности процессов и сетевого трафика;
- Разработка методов анализа пакетных скриптов, которые злоумышленники запускают для извлечения и сохранения данных.
Выводы
Исследование показывает, что злоумышленники, получив контроль над сервером MS-SQL, часто выбирают стратегию использования встроенных инструментов, таких как SQLCMD, которые сложно отследить традиционными средствами мониторинга. Это заставляет специалистов кибербезопасности расширять спектр анализируемых данных и повышать уровень детализации журналов безопасности.
Комплексное понимание поведения угроз поможет организациям более эффективно обнаруживать и предотвращать утечки данных в критически важных инфраструктурах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
