det0181-detection-strategy-for-sql-stored-procedures-abuse-via-t1505001

# DET0181 — Detection Strategy for SQL Stored Procedures Abuse via T1505.001 ## Descrição Esta estratégia detecta o abuso de stored procedures SQL como mecanismo de persistência em servidores de banco de dados — mapeada para [[T1505.001 — SQL Stored Procedures]]. Adversários criam ou modificam stored procedures para executar código arbitrário no contexto do servidor de banco de dados, frequentemente usando o `xp_cmdshell` do SQL Server para execução de comandos do sistema operacional. A detecção se apoia em auditoria de DDL (Data Definition Language) no banco de dados, capturando eventos de criação e alteração de stored procedures por usuários fora do fluxo normal de desenvolvimento. Logs de auditoria do SQL Server (`sys.dm_exec_procedure_stats`, SQL Audit) e atividade de `xp_cmdshell` são fontes primárias de telemetria. A anomalia de timing — procedures criadas fora do horário de deployment — é um indicador de alta confiança. Em ambientes com SQL Server, MySQL e PostgreSQL, a estratégia correlaciona eventos de autenticação de banco de dados com operações DDL subsequentes, identificando contas comprometidas ou criadas pelo adversário. Integração com SIEM permite correlacionar atividade de banco de dados com eventos de rede e endpoint. ## Indicadores de Detecção - Criação ou alteração de stored procedures fora de janelas de manutenção - Habilitação de `xp_cmdshell` após período inativo (`sp_configure 'xp_cmdshell', 1`) - Stored procedures executando comandos do SO via `xp_cmdshell` ou `sp_OACreate` - Novas stored procedures criadas por contas de serviço não esperadas - Alterações em procedures existentes de autenticação ou autorização - Execução de stored procedures com parâmetros contendo comandos codificados ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an0511-analytic-0511|AN0511 — Analytic 0511]] - [[an0512-analytic-0512|AN0512 — Analytic 0512]] --- *Fonte: [MITRE ATT&CK — DET0181](https://attack.mitre.org/detectionstrategies/DET0181)*