Microsoft SQL Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-784	Создание резервных копий MS SQL средствами PowerShell	Данное правило направлено на обнаружение создания резервной копии базы данных через PowerShell. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за учетную запись. Если легитимность подтвердить не удалось, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, на котором произошли подозрительные действия, и инициировать внутреннее расследование.	Collection (TA0009) Data Staged (T1074) Data from Information Repositories (T1213)
RV-D-1401	Создание резервной копии БД MS SQL Server	Атакующий может сохранить конфиденциальную информацию из базы данных для дальнейшей ее обработки на удаленном хосте. Правило обнаруживает попытку сохранения таблицы из базы данных SQL Server в файл.	Credential Access (TA0006) Collection (TA0009) OS Credential Dumping (T1003) Data from Local System (T1005) Data Staged (T1074) Local Data Staging (T1074.001)
RV-D-1402	Подбор пароля к MS SQL Server	Правило обнаруживает множественные неудачные попытки подключения к СУБД SQL Server от одной учетной записи, учитывая попытки с разных хостов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1411	Атака Password Spraying на MS SQL Server	Правило обнаруживает множественные неудачные попытки подключения к СУБД SQL Server от одного хоста к множеству учетных записей.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1412	Успешный подбор пароля MS SQL Server	Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД SQL Server от одной учетной записи, учитывая попытки с разных узлов.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1414	Получение хеша пароля пользователей MSSQL	Атакующий может получить информацию о хешах паролей пользователей MSSQL. Данная атака может помочь заполучить доступ к учетной записи с высокими привилегиями для дальнейшего закрепления. Детектирование происходит через выполнение запросов по определенным функциям.	Credential Access (TA0006) OS Credential Dumping (T1003)
RV-D-1419	Попытка получить состояние службы Windows	Атакующие могут злоупотреблять хранимыми процедурами SQL для установления постоянного доступа либо же в рамках выполнения разведки. В данном правиле отслеживается попытки получить состояние Windows-службы из базы данных с использованием расширенной хранимой процедуры `xp_servicecontrol`.	Discovery (TA0007) System Service Discovery (T1007) Server Software Component (T1505) SQL Stored Procedures (T1505.001)
RV-D-1439	Получение информации о версии MSSQL	Атакующий может получить информацию о версии MSSQL для эксплуатации потенциальных уязвимостей и последующего развития атаки. Обнаружение активности происходит на основании выполненных запросов, содержащих `SELECT` и одной из функции version или serverproperty.	Discovery (TA0007) System Information Discovery (T1082)
RV-D-1447	Получение информации о привилегиях пользователя MSSQL	Атакующий может получить информацию о привилегиях пользователя MSSQL. Данная атака может помочь в получении информации о системе для дальнейшего закрепления. Детектирование происходит через выполнение команд по определенным функциям и процедурам.	Discovery (TA0007) Account Discovery (T1087)
RV-D-1449	Получение информации о пользователях ОС	Атакующий может получить информацию о пользователях windows средствами MSSQL. Данная атака может помочь в получении информацию о системе для дальнейшего развития атаки. Обнаружение активности происходит на основании выполненных запросов содержащие определённые функции.	Discovery (TA0007) Account Discovery (T1087)
RV-D-1450	Доступ к локальной файловой системе MSSQL	Данное правило направлено на обнаружение поиска информации или изменения файлов в локальной файловой системе из СУБД MSSQL. Обнаружение осуществляется на основании запроса, содержащего команду EXEC и одну из функций `xp_dirtree` или `xp_cmdshell`.	Discovery (TA0007) File and Directory Discovery (T1083) Data Manipulation (T1565)
RV-D-1455	Получение информации об алгоритме шифрования БД	Шифрование баз данных – это метод защиты информации, хранящейся в базе данных, посредством преобразования данных в нечитаемый формат. Transparent Data Encryption (TDE) обеспечивает защиту данных «на диске» от несанкционированного доступа в случае физической компрометации носителей.	Discovery (TA0007) System Information Discovery (T1082) Software Discovery (T1518) Security Software Discovery (T1518.001)
RV-D-1457	Поиск пользователей с административными правами в MSSQL	Атакующий может получить информацию о пользователях с административными правами MSSQL, для последующего развития атаки. Обнаружение осуществляется на основание запроса, содержащего оператор `SELECT`, и далее одну из функций, позволяющую получить информацию о пользователях с административными правами.	Discovery (TA0007) Account Discovery (T1087)
RV-D-1461	Получение информации об аудите MS SQL Server	Атакующий может получить информацию о текущем состоянии аудита на уровне сервера или базы данных. Правило отслеживает характерные запросы, которые содержат одно из представлений `dm_server_audit_status`, `server_audit_specifications`, `server_audit_specification_details`, позволяющее получить различную информацию о состоянии аудита.	Discovery (TA0007) Software Discovery (T1518) Security Software Discovery (T1518.001)
RV-D-1466	Чтение ключа реестра средствами MSSQL	Атакующие могут читать ключи и значения реестра Windows для сбора информации о конфигурации системы и установленном ПО, используя встроенные процедуры MSSQL - `xp_regread` и `xp_instance_regread`. Данное правило отслеживает попытки прочитать значение ключа реестра из базы данных.	Discovery (TA0007) Query Registry (T1012) System Information Discovery (T1082)
RV-D-1470	Поиск резервных копий базы данных	Атакующие могут использовать встроенные механизмы MSSQL для получения информации о расположении резервных копий баз данных. Доступ к этим данным позволяет подготовиться к компрометации критически важных резервных копий, их удалению, подмене или извлечению конфиденциальной информации. Данное правило корреляции отслеживает запросы типа `SELECT` к таблице `backupmediafamily`. При срабатывании правила необходимо проверить учетную запись, выполнявшую запрос, и установить, соответствует ли ее активность типичным действиям администратора или базы данных. Если запрос был выполнен неожиданным пользователем или в необычное время, следует изучить дополнительные события в журналах MSSQL, включая историю команд и возможные попытки удаления или копирования резервных копий.	Persistence (TA0003) Discovery (TA0007) File and Directory Discovery (T1083)
RV-D-1471	Получение информации о пользователях MSSQL	Атакующий может получить информацию о пользователях MSSQL для последующего развития атаки. Обнаружение осуществляется на основании запроса, содержащего оператор `SELECT` и далее одну из функций, позволяющую получить информацию о пользователях.	Discovery (TA0007) Account Discovery (T1087)
RV-D-1480	Вход привилегированного пользователя в MS SQL Server	Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста в SQL Server.	Initial Access (TA0001) Valid Accounts (T1078) Local Accounts (T1078.003)
RV-D-1481	Использование процедур для локального выполнения кода	Хранимая процедура – это заранее скомпилированный набор SQL-операторов, который хранится в базе данных. Возможности, предоставляемые хранимыми процедурами, могут быть использованы не только для легитимных административных задач, но и для выполнения системных команд, позволяющих напрямую обращаться к операционной системе.	Execution (TA0002) Command and Scripting Interpreter (T1059)
RV-D-1482	Установка небезопасного свойства MS SQL	Отключение шифрования базы данных и включение параметра `TRUSTWORTHY` могут привести к созданию потенциальных уязвимостей и дать атакующим дополнительные возможности для несанкционированного доступа к данным или обхода механизмов безопасности.	Defense Evasion (TA0005) Subvert Trust Controls (T1553) Weaken Encryption (T1600)
RV-D-1483	Запись ключа реестра средствами MSSQL	Использование хранимых процедур `xp_regwrite` и `xp_instance_regwrite` позволяет взаимодействовать с реестром Windows непосредственно из SQL Server. Запись в реестр может быть признаком попытки изменения конфигурации системы или для закрепления в системе. Данное правило отслеживает попытки записать значение ключа реестра из базы данных.	Defense Evasion (TA0005) Modify Registry (T1112)
RV-D-1489	Попытка включить смешанную аутентификацию MS SQL	SQL Server поддерживает два основных режима аутентификации - только Windows-аутентификация и смешанный режим (Windows + SQL Server аутентификация). По умолчанию используется Windows-аутентификация, которая базируется на механизмах контроля доступа в домене и считается более безопасной. Смешанный режим же включает возможность входа через логины SQL Server, включая встроенную учетную запись sa (System Administrator). При обнаружении активности требуется опросить владельца учетной записи инициатора активности о причинах смены режима аутентификации. В случае отсутствия подтверждения легитимности данной активности произвести блокировку учетной записи инициатора активности и восстановить прежнюю конфигурацию системы.	Defense Evasion (TA0005) Modify Registry (T1112) Modify Authentication Process (T1556)
RV-D-1490	Отключение политики входа пользователей MS SQL	Отключение проверки срока действия пароля и политики сложности в Microsoft SQL Server делает пароли потенциально слабыми и бесконечно долгоживущими. Атакующий может воспользоваться этим, чтобы легко подобрать пароль и получить несанкционированный доступ к серверу.	Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Account Manipulation (T1098) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1492	Изменение аудита базы данных MS SQL Server	Атакующий может изменить состояния текущего аудита на уровне сервера или базы данных. Правило отслеживает характерные запросы, которые позволяет изменить действующую политику аудита.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify Tools (T1562.001) Spoof Security Alerting (T1562.011)
RV-D-1493	Включение небезопасных параметров в конфигурации MSSQL	Включение потенциально опасных параметров конфигурации в MSSQL может привести к эскалации привилегий, удаленному выполнению команд или обходу механизмов безопасности. Атакующие могут использовать эти параметры для закрепления в системе или выполнения вредоносных действий.	Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Create or Modify System Process (T1543) Windows Service (T1543.003) Impair Defenses (T1562) Disable or Modify Tools (T1562.001)
RV-D-1497	Использование хранимых процедур `sp_proxy` и `sp_grant_proxy`	Атакующие могут злоупотреблять хранимыми процедурами SQL для получения привилегий и выполнения команд от имени привилегированных учетных записей. Одним из таких механизмов является использование proxy-аккаунтов в SQL Server Agent. Proxy-аккаунты позволяют запускать задания SQL Server Agent с повышенными привилегиями, обходя стандартные ограничения учетных записей. Атакующий может создать или назначить proxy-аккаунт с привилегиями, которых нет у его основной учётной записи, и выполнить действия от имени этой учётной записи, тем самым обходя контроль доступа. Наибольшую опасность представляют proxy, привязанные к подсистемам CmdExec, PowerShell и SSIS, так как они позволяют выполнить произвольный код с привилегиями proxy-пользователя. Данное правило обнаруживает вызовы хранимых процедур `sp_add_proxy` и `sp_grant_proxy_to_subsystem`.	Persistence (TA0003) Defense Evasion (TA0005) Server Software Component (T1505) SQL Stored Procedures (T1505.001) Abuse Elevation Control Mechanism (T1548)
RV-D-1498	Назначена роль администратора пользователю MS SQL Server	Правило обнаруживает присвоение привилегированной роли для учетной записи в СУБД SQL Server на основании событий, содержащих соответствующий SQL запрос. При обнаружении событии требуется уточнить у ответственного за учетную запись или сервер о причинах присвоения привилегированной роли. В случае если легитимность вышеуказанных действий подтвердить не удалось требуется заблокировать учетную запись до определения обстоятельств инцидента.	Persistence (TA0003) Privilege Escalation (TA0004) Account Manipulation (T1098)
RV-D-1501	Изменение пароля привилегированной УЗ MS SQL Server	Правило обнаруживает изменение паролей привилегированных учетных записей в СУБД SQL Server на основе событий проверки парольной политики или событий, содержащих SQL запрос на изменение пароля.	Persistence (TA0003) Account Manipulation (T1098)
RV-D-1504	Попытка изменить состояние службы Windows	В данном правиле отслеживается попытка изменить состояние Windows-сервиса из базы данных с использованием расширенной хранимой процедуры `xp_servicecontrol`. Атакующие могут использовать данный метод для запуска или остановки критически важных сервисов, таких как SQL Server Agent, что позволяет им влиять на работу системы и скрывать вредоносную активность.	Execution (TA0002) Impact (TA0040) Service Stop (T1489) System Services (T1569) Service Execution (T1569.002)
RV-D-1506	Отправка результатов SQL-запроса почтой	В MS SQL Server существует встроенная функциональность — Database Mail, которая позволяет отправлять электронные письма прямо из базы данных. Это может быть полезно администраторам для автоматической отправки отчетов, результатов мониторинга или оповещений о сбоях. Но также может использоваться атакующими для передачи информации.	Exfiltration (TA0010) Exfiltration Over Web Service (T1567)
RV-D-1507	Удаление базы данных в MS SQL Server	Данное правило направлено на обнаружение деструктивных операций в MS SQL Server, связанных с удалением баз данных (команда `DROP DATABASE`). Выполнение таких команд ведет к немедленной потере доступности информационных активов и может являться признаком критического инцидента безопасности. Подобная активность характерна для финальных стадий атак, направленных на саботаж работы организации, уничтожение следов присутствия атакующих в системе или реализацию угроз в рамках атак программ-вымогателей.	Impact (TA0040) Data Destruction (T1485)
RV-D-1508	Удаление нескольких таблиц в MS SQL Server	Атакующий с целью нарушения функционирования системы может попытаться удалить значимые таблицы в базе данных. Правило обнаруживает удаление 5 таблиц в течении минуты в SQL Server с помощью характерных запросов.	Impact (TA0040) Data Destruction (T1485)

RV-D-784

Создание резервных копий MS SQL средствами PowerShell

Данное правило направлено на обнаружение создания резервной копии базы данных через PowerShell. В случае срабатывания правила необходимо запросить информацию о причинах активности у ответственного за учетную запись. Если легитимность подтвердить не удалось, рекомендуется временно заблокировать учетную запись, ограничить доступ к узлу, на котором произошли подозрительные действия, и инициировать внутреннее расследование.

Collection (TA0009)
Data Staged (T1074)
Data from Information Repositories (T1213)

RV-D-1401

Создание резервной копии БД MS SQL Server

Атакующий может сохранить конфиденциальную информацию из базы данных для дальнейшей ее обработки на удаленном хосте. Правило обнаруживает попытку сохранения таблицы из базы данных SQL Server в файл.

Credential Access (TA0006)
Collection (TA0009)
OS Credential Dumping (T1003)
Data from Local System (T1005)
Data Staged (T1074)
Local Data Staging (T1074.001)

RV-D-1402

Подбор пароля к MS SQL Server

Правило обнаруживает множественные неудачные попытки подключения к СУБД SQL Server от одной учетной записи, учитывая попытки с разных хостов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1411

Атака Password Spraying на MS SQL Server

Правило обнаруживает множественные неудачные попытки подключения к СУБД SQL Server от одного хоста к множеству учетных записей.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1412

Успешный подбор пароля MS SQL Server

Правило обнаруживает успешную попытку входа после множественных неудачных попыток подключения к СУБД SQL Server от одной учетной записи, учитывая попытки с разных узлов.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1414

Получение хеша пароля пользователей MSSQL

Атакующий может получить информацию о хешах паролей пользователей MSSQL. Данная атака может помочь заполучить доступ к учетной записи с высокими привилегиями для дальнейшего закрепления. Детектирование происходит через выполнение запросов по определенным функциям.

Credential Access (TA0006)
OS Credential Dumping (T1003)

RV-D-1419

Попытка получить состояние службы Windows

Атакующие могут злоупотреблять хранимыми процедурами SQL для установления постоянного доступа либо же в рамках выполнения разведки. В данном правиле отслеживается попытки получить состояние Windows-службы из базы данных с использованием расширенной хранимой процедуры xp_servicecontrol.

Discovery (TA0007)
System Service Discovery (T1007)
Server Software Component (T1505)
SQL Stored Procedures (T1505.001)

RV-D-1439

Получение информации о версии MSSQL

Атакующий может получить информацию о версии MSSQL для эксплуатации потенциальных уязвимостей и последующего развития атаки. Обнаружение активности происходит на основании выполненных запросов, содержащих SELECT и одной из функции version или serverproperty.

Discovery (TA0007)
System Information Discovery (T1082)

RV-D-1447

Получение информации о привилегиях пользователя MSSQL

Атакующий может получить информацию о привилегиях пользователя MSSQL. Данная атака может помочь в получении информации о системе для дальнейшего закрепления. Детектирование происходит через выполнение команд по определенным функциям и процедурам.

Discovery (TA0007)
Account Discovery (T1087)

RV-D-1449

Получение информации о пользователях ОС

Атакующий может получить информацию о пользователях windows средствами MSSQL. Данная атака может помочь в получении информацию о системе для дальнейшего развития атаки. Обнаружение активности происходит на основании выполненных запросов содержащие определённые функции.

Discovery (TA0007)
Account Discovery (T1087)

RV-D-1450

Доступ к локальной файловой системе MSSQL

Данное правило направлено на обнаружение поиска информации или изменения файлов в локальной файловой системе из СУБД MSSQL. Обнаружение осуществляется на основании запроса, содержащего команду EXEC и одну из функций xp_dirtree или xp_cmdshell.

Discovery (TA0007)
File and Directory Discovery (T1083)
Data Manipulation (T1565)

RV-D-1455

Получение информации об алгоритме шифрования БД

Шифрование баз данных – это метод защиты информации, хранящейся в базе данных, посредством преобразования данных в нечитаемый формат. Transparent Data Encryption (TDE) обеспечивает защиту данных «на диске» от несанкционированного доступа в случае физической компрометации носителей.

Discovery (TA0007)
System Information Discovery (T1082)
Software Discovery (T1518)
Security Software Discovery (T1518.001)

RV-D-1457

Поиск пользователей с административными правами в MSSQL

Атакующий может получить информацию о пользователях с административными правами MSSQL, для последующего развития атаки. Обнаружение осуществляется на основание запроса, содержащего оператор SELECT, и далее одну из функций, позволяющую получить информацию о пользователях с административными правами.

Discovery (TA0007)
Account Discovery (T1087)

RV-D-1461

Получение информации об аудите MS SQL Server

Атакующий может получить информацию о текущем состоянии аудита на уровне сервера или базы данных. Правило отслеживает характерные запросы, которые содержат одно из представлений dm_server_audit_status, server_audit_specifications, server_audit_specification_details, позволяющее получить различную информацию о состоянии аудита.

Discovery (TA0007)
Software Discovery (T1518)
Security Software Discovery (T1518.001)

RV-D-1466

Чтение ключа реестра средствами MSSQL

Атакующие могут читать ключи и значения реестра Windows для сбора информации о конфигурации системы и установленном ПО, используя встроенные процедуры MSSQL - xp_regread и xp_instance_regread. Данное правило отслеживает попытки прочитать значение ключа реестра из базы данных.

Discovery (TA0007)
Query Registry (T1012)
System Information Discovery (T1082)

RV-D-1470

Поиск резервных копий базы данных

Атакующие могут использовать встроенные механизмы MSSQL для получения информации о расположении резервных копий баз данных. Доступ к этим данным позволяет подготовиться к компрометации критически важных резервных копий, их удалению, подмене или извлечению конфиденциальной информации. Данное правило корреляции отслеживает запросы типа SELECT к таблице backupmediafamily. При срабатывании правила необходимо проверить учетную запись, выполнявшую запрос, и установить, соответствует ли ее активность типичным действиям администратора или базы данных. Если запрос был выполнен неожиданным пользователем или в необычное время, следует изучить дополнительные события в журналах MSSQL, включая историю команд и возможные попытки удаления или копирования резервных копий.

Persistence (TA0003)
Discovery (TA0007)
File and Directory Discovery (T1083)

RV-D-1471

Получение информации о пользователях MSSQL

Атакующий может получить информацию о пользователях MSSQL для последующего развития атаки. Обнаружение осуществляется на основании запроса, содержащего оператор SELECT и далее одну из функций, позволяющую получить информацию о пользователях.

Discovery (TA0007)
Account Discovery (T1087)

RV-D-1480

Вход привилегированного пользователя в MS SQL Server

Атакующий может получить привилегированные учетные данные и попытаться авторизоваться с контролируемого им хоста. Правило обнаруживает попытку авторизации привилегированного пользователя с неизвестного хоста в SQL Server.

Initial Access (TA0001)
Valid Accounts (T1078)
Local Accounts (T1078.003)

RV-D-1481

Использование процедур для локального выполнения кода

Хранимая процедура – это заранее скомпилированный набор SQL-операторов, который хранится в базе данных. Возможности, предоставляемые хранимыми процедурами, могут быть использованы не только для легитимных административных задач, но и для выполнения системных команд, позволяющих напрямую обращаться к операционной системе.

Execution (TA0002)
Command and Scripting Interpreter (T1059)

RV-D-1482

Установка небезопасного свойства MS SQL

Отключение шифрования базы данных и включение параметра TRUSTWORTHY могут привести к созданию потенциальных уязвимостей и дать атакующим дополнительные возможности для несанкционированного доступа к данным или обхода механизмов безопасности.

Defense Evasion (TA0005)
Subvert Trust Controls (T1553)
Weaken Encryption (T1600)

RV-D-1483

Запись ключа реестра средствами MSSQL

Использование хранимых процедур xp_regwrite и xp_instance_regwrite позволяет взаимодействовать с реестром Windows непосредственно из SQL Server. Запись в реестр может быть признаком попытки изменения конфигурации системы или для закрепления в системе. Данное правило отслеживает попытки записать значение ключа реестра из базы данных.

Defense Evasion (TA0005)
Modify Registry (T1112)

RV-D-1489

Попытка включить смешанную аутентификацию MS SQL

SQL Server поддерживает два основных режима аутентификации - только Windows-аутентификация и смешанный режим (Windows + SQL Server аутентификация). По умолчанию используется Windows-аутентификация, которая базируется на механизмах контроля доступа в домене и считается более безопасной. Смешанный режим же включает возможность входа через логины SQL Server, включая встроенную учетную запись sa (System Administrator). При обнаружении активности требуется опросить владельца учетной записи инициатора активности о причинах смены режима аутентификации. В случае отсутствия подтверждения легитимности данной активности произвести блокировку учетной записи инициатора активности и восстановить прежнюю конфигурацию системы.

Defense Evasion (TA0005)
Modify Registry (T1112)
Modify Authentication Process (T1556)

RV-D-1490

Отключение политики входа пользователей MS SQL

Отключение проверки срока действия пароля и политики сложности в Microsoft SQL Server делает пароли потенциально слабыми и бесконечно долгоживущими. Атакующий может воспользоваться этим, чтобы легко подобрать пароль и получить несанкционированный доступ к серверу.

Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Account Manipulation (T1098)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1492

Изменение аудита базы данных MS SQL Server

Атакующий может изменить состояния текущего аудита на уровне сервера или базы данных. Правило отслеживает характерные запросы, которые позволяет изменить действующую политику аудита.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)
Spoof Security Alerting (T1562.011)

RV-D-1493

Включение небезопасных параметров в конфигурации MSSQL

Включение потенциально опасных параметров конфигурации в MSSQL может привести к эскалации привилегий, удаленному выполнению команд или обходу механизмов безопасности. Атакующие могут использовать эти параметры для закрепления в системе или выполнения вредоносных действий.

Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Create or Modify System Process (T1543)
Windows Service (T1543.003)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)

RV-D-1497

Использование хранимых процедур sp_proxy и sp_grant_proxy

Атакующие могут злоупотреблять хранимыми процедурами SQL для получения привилегий и выполнения команд от имени привилегированных учетных записей. Одним из таких механизмов является использование proxy-аккаунтов в SQL Server Agent. Proxy-аккаунты позволяют запускать задания SQL Server Agent с повышенными привилегиями, обходя стандартные ограничения учетных записей. Атакующий может создать или назначить proxy-аккаунт с привилегиями, которых нет у его основной учётной записи, и выполнить действия от имени этой учётной записи, тем самым обходя контроль доступа. Наибольшую опасность представляют proxy, привязанные к подсистемам CmdExec, PowerShell и SSIS, так как они позволяют выполнить произвольный код с привилегиями proxy-пользователя. Данное правило обнаруживает вызовы хранимых процедур sp_add_proxy и sp_grant_proxy_to_subsystem.

Persistence (TA0003)
Defense Evasion (TA0005)
Server Software Component (T1505)
SQL Stored Procedures (T1505.001)
Abuse Elevation Control Mechanism (T1548)

RV-D-1498

Назначена роль администратора пользователю MS SQL Server

Правило обнаруживает присвоение привилегированной роли для учетной записи в СУБД SQL Server на основании событий, содержащих соответствующий SQL запрос. При обнаружении событии требуется уточнить у ответственного за учетную запись или сервер о причинах присвоения привилегированной роли. В случае если легитимность вышеуказанных действий подтвердить не удалось требуется заблокировать учетную запись до определения обстоятельств инцидента.

Persistence (TA0003)
Privilege Escalation (TA0004)
Account Manipulation (T1098)

RV-D-1501

Изменение пароля привилегированной УЗ MS SQL Server

Правило обнаруживает изменение паролей привилегированных учетных записей в СУБД SQL Server на основе событий проверки парольной политики или событий, содержащих SQL запрос на изменение пароля.

Persistence (TA0003)
Account Manipulation (T1098)

RV-D-1504

Попытка изменить состояние службы Windows

В данном правиле отслеживается попытка изменить состояние Windows-сервиса из базы данных с использованием расширенной хранимой процедуры xp_servicecontrol. Атакующие могут использовать данный метод для запуска или остановки критически важных сервисов, таких как SQL Server Agent, что позволяет им влиять на работу системы и скрывать вредоносную активность.

Execution (TA0002)
Impact (TA0040)
Service Stop (T1489)
System Services (T1569)
Service Execution (T1569.002)

RV-D-1506

Отправка результатов SQL-запроса почтой

В MS SQL Server существует встроенная функциональность — Database Mail, которая позволяет отправлять электронные письма прямо из базы данных. Это может быть полезно администраторам для автоматической отправки отчетов, результатов мониторинга или оповещений о сбоях. Но также может использоваться атакующими для передачи информации.

Exfiltration (TA0010)
Exfiltration Over Web Service (T1567)

RV-D-1507

Удаление базы данных в MS SQL Server

Данное правило направлено на обнаружение деструктивных операций в MS SQL Server, связанных с удалением баз данных (команда DROP DATABASE). Выполнение таких команд ведет к немедленной потере доступности информационных активов и может являться признаком критического инцидента безопасности. Подобная активность характерна для финальных стадий атак, направленных на саботаж работы организации, уничтожение следов присутствия атакующих в системе или реализацию угроз в рамках атак программ-вымогателей.

Impact (TA0040)
Data Destruction (T1485)

RV-D-1508

Удаление нескольких таблиц в MS SQL Server

Атакующий с целью нарушения функционирования системы может попытаться удалить значимые таблицы в базе данных. Правило обнаруживает удаление 5 таблиц в течении минуты в SQL Server с помощью характерных запросов.

Impact (TA0040)
Data Destruction (T1485)

Была ли полезна эта страница?

Обратная связь