MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1505.001: Хранимые процедуры SQL

Злоумышленники могут использовать хранимые процедуры SQL для закрепления в системе. Хранимые процедуры SQL — это код, который можно сохранить и повторно использовать, чтобы пользователи баз данных не тратили время на повторное написание часто используемых SQL-запросов. Хранимые процедуры можно вызывать по имени с помощью SQL-запросов к базе данных или при наступлении определенных событий (например, при запуске или перезапуске приложения SQL-сервера).

Злоумышленники могут создавать вредоносные хранимые процедуры, обеспечивающие механизм закрепления на серверах баз данных SQL. Для выполнения команд операционной системы с использованием синтаксиса SQL злоумышленнику может потребоваться включить дополнительные функции, такие как xp_cmdshell для MSSQL Server.

Microsoft SQL Server может обеспечить интеграцию с общеязыковой средой выполнения (CLR). При включенной интеграции с CLR разработчики приложений могут писать хранимые процедуры на любом языке платформы .NET (например, VB .NET, C# и других). Злоумышленники могут создавать или модифицировать сборки CLR, связанные с хранимыми процедурами, так как эти сборки CLR можно заставить выполнять произвольные команды.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postgresql_database: PT-CR-2336: PostgreSQL_SecDef_Function_PrivEsc: Создание и поиск функций Security Definer как потенциальный элемент повышения привилегий
mysql_database: PT-CR-617: MySQL_user_function_create: Обнаружена попытка создать пользовательскую функцию

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование хранимых процедур SQL для закрепления в системе. По возможности отслеживайте использование xp_cmdshell на сервере MSSQL, а также включите аудит с функцией регистрации вредоносной активности при загрузке системы.

Меры противодействия

IDM1047НазваниеАудитОписание

Чтобы контролировать целостность систем, регулярно проверяйте на неожиданные изменения программные компоненты критически важных служб, которые злоумышленники могут использовать для закрепления в системе.

IDM1045НазваниеПодпись исполняемого кодаОписание

Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах.