T1505.001: Хранимые процедуры SQL
Злоумышленники могут использовать хранимые процедуры SQL для закрепления в системе. Хранимые процедуры SQL — это код, который можно сохранить и повторно использовать, чтобы пользователи баз данных не тратили время на повторное написание часто используемых SQL-запросов. Хранимые процедуры можно вызывать по имени с помощью SQL-запросов к базе данных или при наступлении определенных событий (например, при запуске или перезапуске приложения SQL-сервера).
Злоумышленники могут создавать вредоносные хранимые процедуры, обеспечивающие механизм закрепления на серверах баз данных SQL. Для выполнения команд операционной системы с использованием синтаксиса SQL злоумышленнику может потребоваться включить дополнительные функции, такие как xp_cmdshell для MSSQL Server.
Microsoft SQL Server может обеспечить интеграцию с общеязыковой средой выполнения (CLR). При включенной интеграции с CLR разработчики приложений могут писать хранимые процедуры на любом языке платформы .NET (например, VB .NET, C# и других). Злоумышленники могут создавать или модифицировать сборки CLR, связанные с хранимыми процедурами, так как эти сборки CLR можно заставить выполнять произвольные команды.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
postgresql_database: PT-CR-2336: PostgreSQL_SecDef_Function_PrivEsc: Создание и поиск функций Security Definer как потенциальный элемент повышения привилегий
mysql_database: PT-CR-617: MySQL_user_function_create: Обнаружена попытка создать пользовательскую функцию
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование хранимых процедур SQL для закрепления в системе. По возможности отслеживайте использование xp_cmdshell на сервере MSSQL, а также включите аудит с функцией регистрации вредоносной активности при загрузке системы. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Чтобы контролировать целостность систем, регулярно проверяйте на неожиданные изменения программные компоненты критически важных служб, которые злоумышленники могут использовать для закрепления в системе. |
---|
ID | M1045 | Название | Подпись исполняемого кода | Описание | Проследите, чтобы все бинарные файлы компонентов приложения были подписаны правильными разработчиками приложения. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не позволяйте использовать учетные записи администраторов с правами на добавление компонентного программного обеспечения в этих службах для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников на непривилегированных системах. |
---|