Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник Larva-26002 неодноразово атакує відкриті MS-SQL сервери через атаки brute-force. Коли доступ отримано, зловмисник використовує такі інструменти, як BCP, Curl або Bitsadmin, щоб завантажити й записати сканер на базі Go, відомий як ICE Cloud Client. Цей сканер підключається до сервера команд та управління, отримує облікові дані для додаткових SQL серверів і зрештою може сприяти розгортанню сімейств програм-вимагачів, таких як Trigona або Mimic.
Розслідування
AhnLab задокументував зловживання утилітою BCP для вилучення шкідливого бінарного файлу з таблиці бази даних та збереження як C:\ProgramData\api.exe. Дослідники також спостерігали альтернативні методи завантаження з використанням Curl та Bitsadmin. ICE Cloud Launcher потім аутентифікується на своєму C2 сервері, отримує списки цілей та облікових даних і починає brute-forsing інших SQL серверів. Кампанія також включає впровадження інструментів віддаленого доступу, таких як AnyDesk і Teramind.
Захист
Організації повинні вимагати сильні, унікальні паролі для облікових записів SQL, запобігати інтернет-доступу до SQL сервісів та суворо обмежувати доступ за RDP. SQL Server та відповідні компоненти повинні бути повністю оновлені, а команди безпеки мають відстежувати незвичайне використання BCP, Curl або Bitsadmin. Сегментація мережі та виявлення вторгнень також повинні бути застосовані для ідентифікації підозрілих вихідних з’єднань з відомих шкідливих інфраструктур.
Відповідь
Якщо виявлено цю активність, ізолюйте уражений хост, збережіть судові артефакти, такі як api.exe і історію команд, а також проведіть пошук у середовищі на подібну поведінку BCP або завантаження. Блокуйте шкідливі IP-адреси та домени, перезавантажте контрольовані SQL облікові дані та видаліть всі розгорнуті інструменти дистанційного адміністрування. Повний огляд інциденту повинен визначити, чи сталося розгортання або підготовка ransomware.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#cccccc classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nodes action_initial_access[“<b>Action</b> – <b>T1110.003 Brute Force: Password Spraying</b><br/>Атакуючий здійснює brute force на відкриті MSu2011SQL сервіси, щоб отримати облікові дані.”] class action_initial_access action tool_mssql[“<b>Tool</b> – <b>Name</b>: Microsoft SQL Server<br/><b>Purpose</b>: Target service for credential theft”] class tool_mssql tool tech_valid_accounts[“<b>Technique</b> – <b>T1078 Valid Accounts</b><br/>Використання отриманих облікових даних для входу в SQL сервери”] class tech_valid_accounts technique tech_cmd_shell[“<b>Technique</b> – <b>T1059.003 Windows Command Shell</b><br/>Виконання системних команд (hostname, whoami, ifconfig, netstat, tasklist)”] class tech_cmd_shell technique tech_network_config[“<b>Technique</b> – <b>T1016 System Network Configuration Discovery</b>”] class tech_network_config technique tech_network_conn[“<b>Technique</b> – <b>T1049 System Network Connections Discovery</b>”] class tech_network_conn technique tech_process_disc[“<b>Technique</b> – <b>T1057 Process Discovery</b>”] class tech_process_disc technique tool_curl[“<b>Tool</b> – <b>Name</b>: curl<br/><b>Purpose</b>: Завантажити шкідливий навантажувач”] class tool_curl tool tool_bitsadmin[“<b>Tool</b> – <b>Name</b>: bitsadmin<br/><b>Purpose</b>: Завантажити шкідливий навантажувач”] class tool_bitsadmin tool tool_bcp[“<b>Tool</b> – <b>Name</b>: BCP (Bulk Copy Program)<br/><b>Purpose</b>: Експорт бінарних даних для створення api.exe”] class tool_bcp tool tech_masquerade[“<b>Technique</b> – <b>T1036.003 Masquerading: Rename System Utilities</b><br/>Навантаження замасковане як легітимна програма”] class tech_masquerade technique malware_api[“<b>Malware</b> – <b>Name</b>: api.exe<br/><b>Function</b>: ICE Cloud Launcher C2 агент”] class malware_api malware tech_c2_web[“<b>Technique</b> – <b>T1071.001 Web Protocols</b><br/>C2 комунікація через HTTP”] class tech_c2_web technique tech_c2_websvc[“<b>Technique</b> – <b>T1102.002 Web Service: Dead Drop Resolver</b>”] class tech_c2_websvc technique action_lateral_movement[“<b>Action</b> – <b>T1078 Valid Accounts</b><br/>Використання облікових даних для автентифікації на додаткових MSSQL серверах”] class action_lateral_movement action tech_exploit_remote[“<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/>Перенаправлення портів або RDP для латерального руху”] class tech_exploit_remote technique tool_anydesk[“<b>Tool</b> – <b>Name</b>: AnyDesk<br/><b>Purpose</b>: Віддалене керування”] class tool_anydesk tool tool_teramind[“<b>Tool</b> – <b>Name</b>: Teramind<br/><b>Purpose</b>: Віддалений моніторинг”] class tool_teramind tool action_data_exfil[“<b>Action</b> – <b>Data Collection & Exfiltration</b><br/>Сканування та ексфільтрація конфігураційних даних”] class action_data_exfil action %% Connections action_initial_access –>|targets| tool_mssql tool_mssql –>|enables| tech_valid_accounts tech_valid_accounts –>|allows| tech_cmd_shell tech_cmd_shell –>|gathers| tech_network_config tech_cmd_shell –>|gathers| tech_network_conn tech_cmd_shell –>|gathers| tech_process_disc tech_cmd_shell –>|downloads payload using| tool_curl tech_cmd_shell –>|downloads payload using| tool_bitsadmin tech_cmd_shell –>|uses| tool_bcp tool_bcp –>|creates| malware_api malware_api –>|masquerades as| tech_masquerade malware_api –>|communicates via| tech_c2_web malware_api –>|uses| tech_c2_websvc malware_api –>|enables| action_lateral_movement action_lateral_movement –>|leverages| tech_exploit_remote tech_exploit_remote –>|installs| tool_anydesk tech_exploit_remote –>|installs| tool_teramind tool_anydesk –>|facilitates| action_data_exfil tool_teramind –>|facilitates| action_data_exfil “
Поточний процес атаки
Детекції
Можлива перевірка сервісів (через командний рядок)
Перегляд
Можливе виявлення конфігурації системи мережі (через командний рядок)
Перегляд
Підозріла спроба виконання Bulk Copy Tool SQL (через командний рядок)
Перегляд
Підозріле завантаження файлу безпосередньо за IP (через проксі)
Перегляд
Підозріле використання CURL (через командний рядок)
Перегляд
Можливий перегляд системних процесів (через командний рядок)
Перегляд
Можливе виконання команди через SQL розширену збережену процедуру xp_cmdshell (через командний рядок)
Перегляд
Можливе дослідження системи (через командний рядок)
Перегляд
Можливе дослідження або маніпуляція облікових записів або груп (через командний рядок)
Перегляд
Індикатори компрометації (SourceIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Індикатори компрометації (DestinationIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Створення та виконання шкідливого програмного забезпечення на MS-SQL серверах [Створення процесу в Windows]
Перегляд
Виконання симуляцій
Передумова: Тест передпольоту телеметрії та базової лінії має бути успішним.
Обґрунтування: Цей розділ детально описує точне виконання методики супротивника (TTP), призначеної для активації правила детекції. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та мати на меті генерацію точної телеметрії, яку очікує логіка детекції. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Опис атаки та команди:
- Розвідка на зламаному SQL-хості – Нападник перелічує ідентичність хоста та активні мережеві інтерфейси за допомогою
hostnameandnetstat -an. - Підготовка до латерального переміщення – Нападник перелічує запущені процеси, щоб переконатися, що
sqlservr.exeприсутній, підтверджуючи, що ціль є сервером SQL. - Завантаження шкідливого програмного забезпечення за допомогою вбудованої утиліти – Використовуючи
bcp.exe, нападник зловживає можливістю утиліти викликати зовнішню програму (-eпереключатель) для завантаження шкідливого навантаження (api.exe) з віддаленого C2 сервера. - Виконання навантаження – Завантажений
api.exeзапускається, встановлюючи стійкість.
- Розвідка на зламаному SQL-хості – Нападник перелічує ідентичність хоста та активні мережеві інтерфейси за допомогою
-
Сценарій регресійного тестування: (PowerShell – повністю самодостатній)
# ------------------------------------------------------------ # Симульована атака проти Windows SQL Server хоста # ------------------------------------------------------------ $tempDir = "$env:TEMPlarva26002" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Збір інформації про систему (активація selection_info) hostname whoami netstat -an tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH # 2. Завантаження шкідливого програмного забезпечення з використанням BCP (активація selection_malware) # Симуляція віддаленого файла шляхом створення підробленого exe локально $maliciousExe = "$tempDirapi.exe" Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII # Команда BCP, яка викликає "api.exe" через опцію -e (виконання зовнішньої програми) $bcpCmd = @" bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe" "@ Invoke-Expression $bcpCmd # 3. Виконання навантаження (додатковий спостережуваний процес) Start-Process -FilePath $maliciousExe -WindowStyle Hidden # Затримка очищення (дозволити SIEM поглинати) Start-Sleep -Seconds 10 -
Команди очищення:
# Видалення тимчасових файлів і зупинка будь-якого залишкового підробленого процесу Stop-Process -Name "api" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force