Кібернапад із використанням шкідливого програмного забезпечення на сервери MS‑SQL для розгортання ICE Cloud Scanner (Larva-26002)
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник Larva-26002 неодноразово атакує відкриті MS-SQL сервери через атаки brute-force. Коли доступ отримано, зловмисник використовує такі інструменти, як BCP, Curl або Bitsadmin, щоб завантажити й записати сканер на базі Go, відомий як ICE Cloud Client. Цей сканер підключається до сервера команд та управління, отримує облікові дані для додаткових SQL серверів і зрештою може сприяти розгортанню сімейств програм-вимагачів, таких як Trigona або Mimic.
Розслідування
AhnLab задокументував зловживання утилітою BCP для вилучення шкідливого бінарного файлу з таблиці бази даних та збереження як C:\ProgramData\api.exe. Дослідники також спостерігали альтернативні методи завантаження з використанням Curl та Bitsadmin. ICE Cloud Launcher потім аутентифікується на своєму C2 сервері, отримує списки цілей та облікових даних і починає brute-forsing інших SQL серверів. Кампанія також включає впровадження інструментів віддаленого доступу, таких як AnyDesk і Teramind.
Захист
Організації повинні вимагати сильні, унікальні паролі для облікових записів SQL, запобігати інтернет-доступу до SQL сервісів та суворо обмежувати доступ за RDP. SQL Server та відповідні компоненти повинні бути повністю оновлені, а команди безпеки мають відстежувати незвичайне використання BCP, Curl або Bitsadmin. Сегментація мережі та виявлення вторгнень також повинні бути застосовані для ідентифікації підозрілих вихідних з’єднань з відомих шкідливих інфраструктур.
Відповідь
Якщо виявлено цю активність, ізолюйте уражений хост, збережіть судові артефакти, такі як api.exe і історію команд, а також проведіть пошук у середовищі на подібну поведінку BCP або завантаження. Блокуйте шкідливі IP-адреси та домени, перезавантажте контрольовані SQL облікові дані та видаліть всі розгорнуті інструменти дистанційного адміністрування. Повний огляд інциденту повинен визначити, чи сталося розгортання або підготовка ransomware.
Поточний процес атаки
Детекції
Можлива перевірка сервісів (через командний рядок)
Перегляд
Можливе виявлення конфігурації системи мережі (через командний рядок)
Перегляд
Підозріла спроба виконання Bulk Copy Tool SQL (через командний рядок)
Перегляд
Підозріле завантаження файлу безпосередньо за IP (через проксі)
Перегляд
Підозріле використання CURL (через командний рядок)
Перегляд
Можливий перегляд системних процесів (через командний рядок)
Перегляд
Можливе виконання команди через SQL розширену збережену процедуру xp_cmdshell (через командний рядок)
Перегляд
Можливе дослідження системи (через командний рядок)
Перегляд
Можливе дослідження або маніпуляція облікових записів або груп (через командний рядок)
Перегляд
Індикатори компрометації (SourceIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Індикатори компрометації (DestinationIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)
Перегляд
Створення та виконання шкідливого програмного забезпечення на MS-SQL серверах [Створення процесу в Windows]
Перегляд
Виконання симуляцій
Передумова: Тест передпольоту телеметрії та базової лінії має бути успішним.
Обґрунтування: Цей розділ детально описує точне виконання методики супротивника (TTP), призначеної для активації правила детекції. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та мати на меті генерацію точної телеметрії, яку очікує логіка детекції. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Опис атаки та команди:
- Розвідка на зламаному SQL-хості – Нападник перелічує ідентичність хоста та активні мережеві інтерфейси за допомогою
hostnameandnetstat -an. - Підготовка до латерального переміщення – Нападник перелічує запущені процеси, щоб переконатися, що
sqlservr.exeприсутній, підтверджуючи, що ціль є сервером SQL. - Завантаження шкідливого програмного забезпечення за допомогою вбудованої утиліти – Використовуючи
bcp.exe, нападник зловживає можливістю утиліти викликати зовнішню програму (-eпереключатель) для завантаження шкідливого навантаження (api.exe) з віддаленого C2 сервера. - Виконання навантаження – Завантажений
api.exeзапускається, встановлюючи стійкість.
- Розвідка на зламаному SQL-хості – Нападник перелічує ідентичність хоста та активні мережеві інтерфейси за допомогою
-
Сценарій регресійного тестування: (PowerShell – повністю самодостатній)
# ------------------------------------------------------------ # Симульована атака проти Windows SQL Server хоста # ------------------------------------------------------------ $tempDir = "$env:TEMPlarva26002" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Збір інформації про систему (активація selection_info) hostname whoami netstat -an tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH # 2. Завантаження шкідливого програмного забезпечення з використанням BCP (активація selection_malware) # Симуляція віддаленого файла шляхом створення підробленого exe локально $maliciousExe = "$tempDirapi.exe" Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII # Команда BCP, яка викликає "api.exe" через опцію -e (виконання зовнішньої програми) $bcpCmd = @" bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe" "@ Invoke-Expression $bcpCmd # 3. Виконання навантаження (додатковий спостережуваний процес) Start-Process -FilePath $maliciousExe -WindowStyle Hidden # Затримка очищення (дозволити SIEM поглинати) Start-Sleep -Seconds 10 -
Команди очищення:
# Видалення тимчасових файлів і зупинка будь-якого залишкового підробленого процесу Stop-Process -Name "api" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force