Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’acteur malveillant Larva-26002 cible à plusieurs reprises les serveurs MS-SQL exposés via des attaques par force brute. Une fois l’accès obtenu, l’attaquant utilise des outils tels que BCP, Curl ou Bitsadmin pour télécharger et écrire un scanner basé sur Go connu sous le nom de ICE Cloud Client. Ce scanner se connecte à un serveur de commande et de contrôle, reçoit des identifiants pour des serveurs SQL supplémentaires et peut finalement faciliter le déploiement de familles de ransomwares telles que Trigona ou Mimic.
Enquête
AhnLab a documenté l’abus de l’utilitaire BCP pour extraire un binaire malveillant d’une table de base de données et le sauvegarder en tant que C:\ProgramData\api.exe. Les chercheurs ont également observé des méthodes de téléchargement alternatives utilisant Curl et Bitsadmin. Le ICE Cloud Launcher s’authentifie ensuite à son serveur C2, récupère des listes de cibles et des identifiants, et commence à forcer l’accès à d’autres serveurs SQL. La campagne a également introduit des outils d’accès à distance tels qu’AnyDesk et Teramind.
Atténuation
Les organisations doivent exiger des mots de passe forts et uniques pour les comptes SQL, empêcher les services SQL exposés à Internet et restreindre strictement l’accès RDP. Le serveur SQL et les composants associés doivent être entièrement patchés, tandis que les équipes de sécurité doivent surveiller toute utilisation inhabituelle de BCP, Curl ou Bitsadmin. La segmentation du réseau et la détection des intrusions doivent également être utilisées pour identifier les communications sortantes suspectes vers des infrastructures malveillantes connues.
Réponse
Si cette activité est détectée, isolez l’hôte affecté, conservez les artefacts judiciaires tels que api.exe et l’historique des commandes, et effectuez une recherche dans l’environnement pour un comportement BCP ou de téléchargeur similaire. Bloquez les IP et domaines malveillants, réinitialisez les identifiants SQL compromis et retirez tout outil d’administration à distance déployé. Un examen complet de la réponse à l’incident doit ensuite déterminer si un déploiement ou une mise en scène de ransomware a eu lieu.
"graph TB %% Définitions des classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#cccccc classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nœuds action_initial_access["<b>Action</b> – <b>T1110.003 Force Brute: Pulvérisation de Mots de Passe</b><br/>L’attaquant force par brute les services MSu2011SQL exposés pour obtenir des identifiants."] class action_initial_access action tool_mssql["<b>Outil</b> – <b>Nom</b>: Microsoft SQL Server<br/><b>But</b>: Service cible pour le vol d’identifiants"] class tool_mssql tool tech_valid_accounts["<b>Technique</b> – <b>T1078 Comptes Valides</b><br/>Utilisation des identifiants obtenus pour se connecter aux serveurs SQL"] class tech_valid_accounts technique tech_cmd_shell["<b>Technique</b> – <b>T1059.003 Shell de Commande Windows</b><br/>Exécuter des commandes système (hostname, whoami, ifconfig, netstat, tasklist)"] class tech_cmd_shell technique tech_network_config["<b>Technique</b> – <b>T1016 Découverte de la Configuration Réseau Système</b>"] class tech_network_config technique tech_network_conn["<b>Technique</b> – <b>T1049 Découverte des Connexions Réseau Système</b>"] class tech_network_conn technique tech_process_disc["<b>Technique</b> – <b>T1057 Découverte des Processus</b>"] class tech_process_disc technique tool_curl["<b>Outil</b> – <b>Nom</b>: curl<br/><b>But</b>: Télécharger une charge utile malveillante"] class tool_curl tool tool_bitsadmin["<b>Outil</b> – <b>Nom</b>: bitsadmin<br/><b>But</b>: Télécharger une charge utile malveillante"] class tool_bitsadmin tool tool_bcp["<b>Outil</b> – <b>Nom</b>: BCP (Programme de Copie en Bloc)<br/><b>But</b>: Exporter des données binaires pour créer api.exe"] class tool_bcp tool tech_masquerade["<b>Technique</b> – <b>T1036.003 Déguisement : Renommer les utilitaires systèmes</b><br/>Charge utile déguisée en programme légitime"] class tech_masquerade technique malware_api["<b>Logiciel Malveillant</b> – <b>Nom</b>: api.exe<br/><b>Fonction</b>: Agent IC2 Launcher C2"] class malware_api malware tech_c2_web["<b>Technique</b> – <b>T1071.001 Protocoles Web</b><br/>Communication C2 sur HTTP"] class tech_c2_web technique tech_c2_websvc["<b>Technique</b> – <b>T1102.002 Service Web : Résolveur de Goutte Muette</b>"] class tech_c2_websvc technique action_lateral_movement["<b>Action</b> – <b>T1078 Comptes Valides</b><br/>Utiliser des identifiants pour authentifier à des serveurs MSSQL supplémentaires"] class action_lateral_movement action tech_exploit_remote["<b>Technique</b> – <b>T1210 Exploitation des Services Distants</b><br/>Redirection de port ou RDP pour le mouvement latéral"] class tech_exploit_remote technique tool_anydesk["<b>Outil</b> – <b>Nom</b>: AnyDesk<br/><b>But</b>: Contrôle à distance"] class tool_anydesk tool tool_teramind["<b>Outil</b> – <b>Nom</b>: Teramind<br/><b>But</b>: Surveillance à distance"] class tool_teramind tool action_data_exfil["<b>Action</b> – <b>Collecte et Exfiltration de Données</b><br/>Scan et exfiltration des données de configuration"] class action_data_exfil action %% Connexions action_initial_access –>|cible| tool_mssql tool_mssql –>|active| tech_valid_accounts tech_valid_accounts –>|permet| tech_cmd_shell tech_cmd_shell –>|collecte| tech_network_config tech_cmd_shell –>|collecte| tech_network_conn tech_cmd_shell –>|collecte| tech_process_disc tech_cmd_shell –>|télécharge la charge utile en utilisant| tool_curl tech_cmd_shell –>|télécharge la charge utile en utilisant| tool_bitsadmin tech_cmd_shell –>|utilise| tool_bcp tool_bcp –>|crée| malware_api malware_api –>|déguisé en| tech_masquerade malware_api –>|communique via| tech_c2_web malware_api –>|utilise| tech_c2_websvc malware_api –>|active| action_lateral_movement action_lateral_movement –>|exploite| tech_exploit_remote tech_exploit_remote –>|installe| tool_anydesk tech_exploit_remote –>|installe| tool_teramind tool_anydesk –>|facilite| action_data_exfil tool_teramind –>|facilite| action_data_exfil "
Flux d’Attaque
Détections
Possible Énumération des Services (via cmdline)
Voir
Possible Découverte de la Configuration Réseau du Système (via cmdline)
Voir
Tentative d’Exécution Suspecte du Outil de Copie en Masse SQL (via cmdline)
Voir
Téléchargement de Fichier Suspect Direct IP (via proxy)
Voir
Utilisation Suspecte de CURL (via cmdline)
Voir
Possible Énumération des Processus Systèmes (via cmdline)
Voir
Possible Exécution de Commande via SQL Procédure Étendue xp_cmdshell (via cmdline)
Voir
Possible Énumération Système (via cmdline)
Voir
Possible Énumération/Manipulation de Compte ou de Groupe (via cmdline)
Voir
IOCs (SourceIP) pour détecter : Attaque de Logiciel Malveillant Ciblant les Serveurs MS‐SQL pour Déployer le ICE Cloud Scanner (Larva-26002)
Voir
IOCs (DestinationIP) pour détecter : Attaque de Logiciel Malveillant Ciblant les Serveurs MS‐SQL pour Déployer le ICE Cloud Scanner (Larva-26002)
Voir
IOCs (HashMd5) pour détecter : Attaque de Logiciel Malveillant Ciblant les Serveurs MS‐SQL pour Déployer le ICE Cloud Scanner (Larva-26002)
Voir
Création et Exécution de Logiciel Malveillant sur les Serveurs MS-SQL [Création de Processus Windows]
Voir
Exécution de la Simulation
Prérequis : Le Test Préliminaire de Télémétrie & Baseline doit avoir été réussi.
Pourquoi : Cette section détaille l’exécution précise de la technique adverse (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.
-
Récit d’Attaque & Commandes :
- Reconnaissance sur l’hôte SQL compromis – L’attaquant énumère l’identité de l’hôte et les interfaces réseau actives en utilisant
hostnameandnetstat -an. - Préparation au Mouvement Latéral – L’attaquant liste les processus en cours pour vérifier que
sqlservr.exeest présent, confirmant que la cible est un serveur SQL. - Téléchargement de logiciel malveillant via utilitaire natif – En utilisant
bcp.exe, l’attaquant abuse de la capacité de l’utilitaire à invoquer un programme externe (-eswitch) pour télécharger une charge utile malveillante (api.exe) à partir d’un serveur C2 distant. - Exécution de la charge utile – Le
api.exetéléchargé est lancé, établissant la persistance.
- Reconnaissance sur l’hôte SQL compromis – L’attaquant énumère l’identité de l’hôte et les interfaces réseau actives en utilisant
-
Script de Test de Régression : (PowerShell – entièrement autonome)
# ------------------------------------------------------------ # Attaque simulée contre un hôte Windows SQL Server # ------------------------------------------------------------ $tempDir = "$env:TEMPlarva26002" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Collecte d'informations système (déclenche sélection_info) hostname whoami netstat -an tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH # 2. Télécharger une charge utile malveillante en utilisant BCP (déclenche sélection_malware) # Simuler un fichier distant en créant un exe factice localement $maliciousExe = "$tempDirapi.exe" Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII # Commande BCP qui appelle le "api.exe" via le switch -e (exécution de programme externe) $bcpCmd = @" bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe" "@ Invoke-Expression $bcpCmd # 3. Exécuter la charge utile (processus observable supplémentaire) Start-Process -FilePath $maliciousExe -WindowStyle Hidden # Délai de nettoyage (permet à SIEM d'ingérer) Start-Sleep -Seconds 10 -
Commandes de Nettoyage :
# Retirer les fichiers temporaires et arrêter tout processus factice restant Stop-Process -Name "api" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force