Microsoftのセキュリティエキスパートチームは5月18日、Microsoft Security Intelligenceの公式Twitterアカウントにおいて、MS SQL Serverを標的とした新たなブルートフォース攻撃キャンペーンを観測しているとして警告を促した。このキャンペーンの特徴としては、SQL Serverに同梱されている正規のプログラムである「sqlps.exe」を攻撃に悪用している点が挙げられている。

  • SQL Serverを標的としたブルートフォース攻撃キャンペーンに関するツイート

    SQL Serverを標的としたブルートフォース攻撃キャンペーンに関するツイート

一連のツイートでは、このキャンペーンで用いられている攻撃手法の特徴などがまとめられている。最も大きな特徴は、前述のとおりsqlps.exeをLOLBin(living-off-the-land binary)として悪用することで、セキュリティツールによる検出を回避している点だという。LOLBinとはOSなどの環境に備わっているデジタル署名付きの正規のバイナリーのことで、マルウェアなどはこれを悪用することでセキュリティツールの対策を回避したり、不正なコードを別の権限で実行したりすることがある。sqlps.exeは、SQLで構築されたコマンドレットを実行するためのPowerShellラッパーを提供するユーティリティで、すべてのバージョンのSQL Serverにデフォルトで付属している。

今回報告されている攻撃では、攻撃者はsqlps.exeを悪用してSQLサービスの開始モードをLocalSystemに変更することで、ファイルレスで永続化を実現するという。さらに、同じくsqlps.exeを悪用してsysadminロールを持つ新しいアカウントを作成し、SQL Serverインスタンスの完全な制御権を取得する。その結果、マルウェアの展開などといった追加の攻撃が可能になるとのことだ。

Microsoftの専門家は、このようなLOLBinの悪用を回避するために、スクリプトの実行時の動作を完全に可視化することの重要性を指摘している。