Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die Bedrohungsakteure von Larva-26002 zielen wiederholt auf exponierte MS-SQL-Server durch Brute-Force-Angriffe ab. Sobald der Zugriff erlangt ist, verwendet der Angreifer Tools wie BCP, Curl oder Bitsadmin, um einen auf Go basierenden Scanner namens ICE Cloud Client herunterzuladen und zu schreiben. Dieser Scanner verbindet sich mit einem Command-and-Control-Server, erhält Anmeldedaten für zusätzliche SQL-Server und kann letztlich die Bereitstellung von Ransomware-Familien wie Trigona oder Mimic erleichtern.
Untersuchung
AhnLab dokumentierte den Missbrauch des BCP-Dienstprogramms, um eine bösartige Binärdatei aus einer Datenbanktabelle zu extrahieren und diese zu speichern als C:\ProgramData\api.exe. Die Forscher beobachteten auch alternative Download-Methoden mit Curl und Bitsadmin. Der ICE Cloud Launcher authentifiziert sich dann bei seinem C2-Server, ruft Ziellisten und Anmeldeinformationen ab und beginnt mit Brute-Force-Angriffen auf andere SQL-Server. Die Kampagne führte auch Remote-Access-Tools wie AnyDesk und Teramind ein.
Minderung
Organisationen sollten starke, einzigartige Passwörter für SQL-Konten verlangen, internetgestützte SQL-Dienste verhindern und den RDP-Zugriff streng einschränken. SQL Server und verwandte Komponenten sollten vollständig gepatcht sein, während Sicherheitsteams auf ungewöhnliche Nutzung von BCP, Curl oder Bitsadmin überwachen. Netzsegmentierung und Einbruchserkennung sollten ebenfalls verwendet werden, um verdächtigen ausgehenden Datenverkehr zu bekannter bösartiger Infrastruktur zu identifizieren.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host, bewahren Sie forensische Artefakte wie api.exe und Befehlshistorie auf und durchsuchen Sie die Umgebung nach ähnlichem BCP- oder Downloader-Verhalten. Blockieren Sie die bösartigen IPs und Domains, setzen Sie kompromittierte SQL-Anmeldeinformationen zurück und entfernen Sie alle eingesetzten Remote-Administration-Tools. Eine vollständige Überprüfung der Vorfallsreaktion sollte dann klären, ob eine Vorstufe oder Bereitstellung von Ransomware stattgefunden hat.
„graph TB
%% Class definitions
classDef action fill:#99ccff
classDef tool fill:#ffcc99
classDef technique fill:#cccccc
classDef malware fill:#ff9999
classDef operator fill:#ff9900
%% Nodes
action_initial_access[„Aktion – T1110.003 Brute Force: Passwort-Spraying
Angreifer führt Brute-Force-Angriffe auf exponierte MS-SQL-Dienste aus, um Anmeldeinformationen zu erlangen.“]
class action_initial_access action
tool_mssql[„Tool – Name: Microsoft SQL Server
Zweck: Ziel für Anmeldeinformationsdiebstahl“]
class tool_mssql tool
tech_valid_accounts[„Technik – T1078 Gültige Konten
Verwendung von erhaltenen Anmeldeinformationen zum Anmelden bei SQL-Servern“]
class tech_valid_accounts technique
tech_cmd_shell[„Technik – T1059.003 Windows-Kommando-Shell
Systemkommandos ausführen (hostname, whoami, ifconfig, netstat, tasklist)“]
class tech_cmd_shell technique
tech_network_config[„Technik – T1016 Systemnetzwerk-Konfigurationsentdeckung„]
class tech_network_config technique
tech_network_conn[„Technik – T1049 Systemnetzwerk-Verbindungsentdeckung„]
class tech_network_conn technique
tech_process_disc[„Technik – T1057 Prozessentdeckung„]
class tech_process_disc technique
tool_curl[„Tool – Name: curl
Zweck: Bösartige Nutzlast herunterladen“]
class tool_curl tool
tool_bitsadmin[„Tool – Name: bitsadmin
Zweck: Bösartige Nutzlast herunterladen“]
class tool_bitsadmin tool
tool_bcp[„Tool – Name: BCP (Bulk Copy Program)
Zweck: Binärdaten exportieren, um api.exe zu erstellen“]
class tool_bcp tool
tech_masquerade[„Technik – T1036.003 Maskerade: Systemdienstprogramme umbenennen
Nutzlast als legitimes Programm getarnt“]
class tech_masquerade technique
malware_api[„Malware – Name: api.exe
Funktion: ICE Cloud Launcher C2-Agent“]
class malware_api malware
tech_c2_web[„Technik – T1071.001 Web-Protokolle
C2-Kommunikation über HTTP“]
class tech_c2_web technique
tech_c2_websvc[„Technik – T1102.002 Webdienst: Dead Drop Resolver„]
class tech_c2_websvc technique
action_lateral_movement[„Aktion – T1078 Gültige Konten
Verwendung von Anmeldeinformationen zur Authentifizierung bei zusätzlichen MSSQL-Servern“]
class action_lateral_movement action
tech_exploit_remote[„Technik – T1210 Ausnutzung von Remote-Diensten
Port-Weiterleitung oder RDP für laterale Bewegungen“]
class tech_exploit_remote technique
tool_anydesk[„Tool – Name: AnyDesk
Zweck: Fernsteuerung“]
class tool_anydesk tool
tool_teramind[„Tool – Name: Teramind
Zweck: Fernüberwachung“]
class tool_teramind tool
action_data_exfil[„Aktion – Daten sammeln & exfiltrieren
Scannen und exfiltrieren von Konfigurationsdaten“]
class action_data_exfil action
%% Connections
action_initial_access –>|zielt auf| tool_mssql
tool_mssql –>|ermöglicht| tech_valid_accounts
tech_valid_accounts –>|erlaubt| tech_cmd_shell
tech_cmd_shell –>|sammelt| tech_network_config
tech_cmd_shell –>|sammelt| tech_network_conn
tech_cmd_shell –>|sammelt| tech_process_disc
tech_cmd_shell –>|lädt Nutzlast herunter mit| tool_curl
tech_cmd_shell –>|lädt Nutzlast herunter mit| tool_bitsadmin
tech_cmd_shell –>|verwendet| tool_bcp
tool_bcp –>|erstellt| malware_api
malware_api –>|tarnt sich als| tech_masquerade
malware_api –>|kommuniziert über| tech_c2_web
malware_api –>|verwendet| tech_c2_websvc
malware_api –>|ermöglicht| action_lateral_movement
action_lateral_movement –>|nutzt aus| tech_exploit_remote
tech_exploit_remote –>|installiert| tool_anydesk
tech_exploit_remote –>|installiert| tool_teramind
tool_anydesk –>|ermöglicht| action_data_exfil
tool_teramind –>|ermöglicht| action_data_exfil
„
Angriffsablauf
Erkennungen
Mögliche Dienst-Aufzählung (über cmdline)
Ansehen
Mögliche Systemnetzwerk-Konfigurationsentdeckung (über cmdline)
Ansehen
Verdächtiger BCP-Ausführungsversuch (über cmdline)
Ansehen
Verdächtiger Dateidownload mit direkter IP (über Proxy)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Mögliche Systemprozess-Aufzählung (über cmdline)
Ansehen
Mögliche Befehlsausführung über SQL Extended Stored Procedure xp_cmdshell (über cmdline)
Ansehen
Mögliche System-Aufzählung (über cmdline)
Ansehen
Mögliche Konto- oder Gruppenaufzählung / Manipulation (über cmdline)
Ansehen
IOCs (SourceIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
IOCs (DestinationIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
IOCs (HashMd5) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
Malwareerstellung und -ausführung auf MS-SQL-Servern [Windows Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu gedacht ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennung erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Aufklärung auf dem kompromittierten SQL-Host – Der Angreifer listet Host-Identität und aktive Netzwerkschnittstellen auf mit
hostnameandnetstat -an. - Vorbereitung auf laterale Bewegung – Der Angreifer listet laufende Prozesse auf, um zu bestätigen, dass
sqlservr.exevorhanden ist und dass das Ziel ein SQL-Server ist. - Malware-Download über natives Dienstprogramm – Verwendet
bcp.exe, missbraucht der Angreifer die Fähigkeit des Dienstprogramms, ein externes Programm aufzurufen (-eSchalter) um eine bösartige Nutzlast (api.exe) von einem entfernten C2-Server herunterzuladen. - Ausführung der Nutzlast – Die heruntergeladene
api.exewird gestartet, um Persistenz zu etablieren.
- Aufklärung auf dem kompromittierten SQL-Host – Der Angreifer listet Host-Identität und aktive Netzwerkschnittstellen auf mit
-
Regressionstest-Skript: (PowerShell – komplett eigenständig)
# ------------------------------------------------------------ # Simulierter Angriff auf einen Windows-SQL-Server-Host # ------------------------------------------------------------ $tempDir = "$env:TEMPlarva26002" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Systeminformationssammlung (löst selection_info aus) hostname whoami netstat -an tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH # 2. Bösartige Nutzlast mit BCP herunterladen (löst selection_malware aus) # Simulieren Sie eine Remote-Datei, indem Sie lokal eine Dummy-exe erstellen $maliciousExe = "$tempDirapi.exe" Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII # BCP Befehl, der "api.exe" über den -e-Schalter aufruft (Ausführung eines externen Programms) $bcpCmd = @" bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe" "@ Invoke-Expression $bcpCmd # 3. Nutzlast ausführen (zusätzlich beobachtbarer Prozess) Start-Process -FilePath $maliciousExe -WindowStyle Hidden # Aufräumverzögerung (Ermöglicht SIEM das Einlesen) Start-Sleep -Seconds 10 -
Aufräumkommandos:
# Temporäre Dateien entfernen und verbleibende Fake-Prozesse stoppen Stop-Process -Name "api" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force