大数据

内存安全周报第92期 | 黑客并用内置实用程序获得SQL服务器无文件持久性

2025-10-27 12:18

1、恶意软件利用移动设备工具箱获得SQL咨询应用程序无档案举例来说（5.18）

开发者本周一发信称最近断定了一个针对SQL咨询应用程序的恐吓娱乐活动，该娱乐活动利用移动设备的PowerShell十六进制档案来在受损的系统设计上解决情况举例来说。

详细情况

开发者在推特中都问到，这些进犯利用灭火突袭作为原本的进犯手段，因为应用于了“sqlps.exe”工具而受到关注。

这场行动的目标和背后的操作者迄今为止还不清楚，但开发者正在监控原称“sussqlusage”的浏览器。

匹配情况下，所有版本的SQL咨询应用程序都附带了sqlps.exe工具箱，它容许SQL Agent(运转计划任务的Windows咨询服务)应用于PowerShell系统设计运转作业。

开发者认为，操作者通过生成sqlps.exe工具箱来解决情况无档案举例来说，这是运转SQL重构的cmdlets的PowerShell套装器，可以运转跟踪军令，并将SQL咨询服务的启动模式改为LocalSystem。

此外，还断定操作者应用于同一个基本功能创建了一个具有sysadmin主角的新帐户，从而有效地操控了SQL咨询应用程序。

这并不是威胁行径者第一次将仍未存有于生存环境中都的合法十六进制档案武器化以解决情况他们的恐吓目标，这种技术被称为“异想天开”(LotL)，。

这类突袭的棘手之处在于它们通常为无档案突袭，它们不能留下残缺，而且由于应用于了相符的软件，这些娱乐活动不太较易被杀毒软件标明。

开发者问到，这类少见的可解决情况十六进制(LOLBin)的应用于强调了获得脚本语言运转时行径的实质上可见性对于断定恐吓编译器的益处。

概述绑定

2、全新局域网泛舟娱乐活动应用于无档案浏览器技术（5.19）

安全及数据分析人员观察到一场针对Windows普通用户的泛舟娱乐活动应用于了三种相异的无档案浏览器来窃取尖锐电子电邮。这三个浏览器被识别为BitRAT、PandoraHVNC和AveMariaRAT。

详细情况

断定这场局域网泛舟娱乐活动的是来自Fortinet的数据分析人员，他们认为操作者正针对受害者窃取普通用户名、密码本和其他尖锐电子电邮，如银行详细电子电邮。

操作者精心设计从真实来源发送给的缴付调查报告创建初始泛舟谣言，其中都附带一个锁上附加Excel文档的简短请求谣言。该附加中都含有恐吓惠，锁上后Excel会标明应用于惠的潜在安全及情况。如果普通用户忽视该谣言并锁上档案，就会下载浏览器。

操作者利用VBA脚本语言和PowerShell来链接浏览器并将浏览器内置在受害者的电源上。此外，PowerShell编译器被划分三个部分，应用于三个相异的浏览器。

VBA编译器应用于应用于脱氧核糖核酸的mshta[. ]exe军令访问远程HTML档案(APRL27[.]htm)。此档案包含分派的恐吓JavaScript编译器。

上述三个浏览器被下载到一个PowerShell档案中都以绕过扫描，然后应用于傀儡进程技术在目标进程中都侦察和运转。

应用于三种相异形式的浏览器得出结论操作者个人兴趣于窃取尖锐电子电邮。被窃取的电子电邮可能为未来为获取访问权或其他借此而开展的突袭铺平道路。因此，建议侦察反局域网泛舟提高效率，并对职员开展专业训练，以识别局域网泛舟电邮。

概述绑定