Malware-Angriff auf MS-SQL-Server zur Bereitstellung des ICE Cloud Scanners (Larva-26002)
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die Bedrohungsakteure von Larva-26002 zielen wiederholt auf exponierte MS-SQL-Server durch Brute-Force-Angriffe ab. Sobald der Zugriff erlangt ist, verwendet der Angreifer Tools wie BCP, Curl oder Bitsadmin, um einen auf Go basierenden Scanner namens ICE Cloud Client herunterzuladen und zu schreiben. Dieser Scanner verbindet sich mit einem Command-and-Control-Server, erhält Anmeldedaten für zusätzliche SQL-Server und kann letztlich die Bereitstellung von Ransomware-Familien wie Trigona oder Mimic erleichtern.
Untersuchung
AhnLab dokumentierte den Missbrauch des BCP-Dienstprogramms, um eine bösartige Binärdatei aus einer Datenbanktabelle zu extrahieren und diese zu speichern als C:\ProgramData\api.exe. Die Forscher beobachteten auch alternative Download-Methoden mit Curl und Bitsadmin. Der ICE Cloud Launcher authentifiziert sich dann bei seinem C2-Server, ruft Ziellisten und Anmeldeinformationen ab und beginnt mit Brute-Force-Angriffen auf andere SQL-Server. Die Kampagne führte auch Remote-Access-Tools wie AnyDesk und Teramind ein.
Minderung
Organisationen sollten starke, einzigartige Passwörter für SQL-Konten verlangen, internetgestützte SQL-Dienste verhindern und den RDP-Zugriff streng einschränken. SQL Server und verwandte Komponenten sollten vollständig gepatcht sein, während Sicherheitsteams auf ungewöhnliche Nutzung von BCP, Curl oder Bitsadmin überwachen. Netzsegmentierung und Einbruchserkennung sollten ebenfalls verwendet werden, um verdächtigen ausgehenden Datenverkehr zu bekannter bösartiger Infrastruktur zu identifizieren.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host, bewahren Sie forensische Artefakte wie api.exe und Befehlshistorie auf und durchsuchen Sie die Umgebung nach ähnlichem BCP- oder Downloader-Verhalten. Blockieren Sie die bösartigen IPs und Domains, setzen Sie kompromittierte SQL-Anmeldeinformationen zurück und entfernen Sie alle eingesetzten Remote-Administration-Tools. Eine vollständige Überprüfung der Vorfallsreaktion sollte dann klären, ob eine Vorstufe oder Bereitstellung von Ransomware stattgefunden hat.
Angriffsablauf
Erkennungen
Mögliche Dienst-Aufzählung (über cmdline)
Ansehen
Mögliche Systemnetzwerk-Konfigurationsentdeckung (über cmdline)
Ansehen
Verdächtiger BCP-Ausführungsversuch (über cmdline)
Ansehen
Verdächtiger Dateidownload mit direkter IP (über Proxy)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Mögliche Systemprozess-Aufzählung (über cmdline)
Ansehen
Mögliche Befehlsausführung über SQL Extended Stored Procedure xp_cmdshell (über cmdline)
Ansehen
Mögliche System-Aufzählung (über cmdline)
Ansehen
Mögliche Konto- oder Gruppenaufzählung / Manipulation (über cmdline)
Ansehen
IOCs (SourceIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
IOCs (DestinationIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
IOCs (HashMd5) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)
Ansehen
Malwareerstellung und -ausführung auf MS-SQL-Servern [Windows Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu gedacht ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennung erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Aufklärung auf dem kompromittierten SQL-Host – Der Angreifer listet Host-Identität und aktive Netzwerkschnittstellen auf mit
hostnameandnetstat -an. - Vorbereitung auf laterale Bewegung – Der Angreifer listet laufende Prozesse auf, um zu bestätigen, dass
sqlservr.exevorhanden ist und dass das Ziel ein SQL-Server ist. - Malware-Download über natives Dienstprogramm – Verwendet
bcp.exe, missbraucht der Angreifer die Fähigkeit des Dienstprogramms, ein externes Programm aufzurufen (-eSchalter) um eine bösartige Nutzlast (api.exe) von einem entfernten C2-Server herunterzuladen. - Ausführung der Nutzlast – Die heruntergeladene
api.exewird gestartet, um Persistenz zu etablieren.
- Aufklärung auf dem kompromittierten SQL-Host – Der Angreifer listet Host-Identität und aktive Netzwerkschnittstellen auf mit
-
Regressionstest-Skript: (PowerShell – komplett eigenständig)
# ------------------------------------------------------------ # Simulierter Angriff auf einen Windows-SQL-Server-Host # ------------------------------------------------------------ $tempDir = "$env:TEMPlarva26002" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Systeminformationssammlung (löst selection_info aus) hostname whoami netstat -an tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH # 2. Bösartige Nutzlast mit BCP herunterladen (löst selection_malware aus) # Simulieren Sie eine Remote-Datei, indem Sie lokal eine Dummy-exe erstellen $maliciousExe = "$tempDirapi.exe" Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII # BCP Befehl, der "api.exe" über den -e-Schalter aufruft (Ausführung eines externen Programms) $bcpCmd = @" bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe" "@ Invoke-Expression $bcpCmd # 3. Nutzlast ausführen (zusätzlich beobachtbarer Prozess) Start-Process -FilePath $maliciousExe -WindowStyle Hidden # Aufräumverzögerung (Ermöglicht SIEM das Einlesen) Start-Sleep -Seconds 10 -
Aufräumkommandos:
# Temporäre Dateien entfernen und verbleibende Fake-Prozesse stoppen Stop-Process -Name "api" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force