行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> 新的Microsoft SQL Server后门恶意软件 可秘密入侵系统

新的Microsoft SQL Server后门恶意软件 可秘密入侵系统

发布时间:2019年10月28日 10:37:57    来源: A5互联

网络安全研究人员声称,他们发现了一个以前没有文档记录的后门,专门针对Microsoft SQL服务器设计,可以让远程攻击者秘密地控制一个已经被入侵的系统。

这个被称为Skip-2.0的后门恶意软件是一个运行在内存中的后门工具,它允许远程攻击者使用一个“魔法密码”连接到运行MSSQL version 11和version 12的服务器上的任何帐户。

更重要的是,通过在每次使用“魔术密码”时禁用受感染机器的日志记录功能,事件发布和审核机制,恶意软件设法在受害者的MSSQL Server上保持未被检测到的状态。

利用这些功能,攻击者可以秘密地复制,修改或删除存储在数据库中的内容,其影响因应用程序与目标服务器所集成的应用程序而异。

该恶意软件与其他已知Winnti Group工具(尤其是PortReuse后门和ShadowPad)具有多种相似之处。

本月早些时候,ESET首次记录了PortReuse backdoor,它是一种被动的网络植入,用于向正在运行的进程注入自己,这个进程已经监听了一个TCP端口,“重用”一个已经打开的端口,然后等待一个到来的魔法包来触发恶意代码。

ShadowPad首次出现在2017年7月对软件制造商NetSarang 的供应链攻击中,它是Windows后门程序,攻击者可以在受害网络上部署它以获取灵活的远程控制功能。

与其他Winnti Group有效载荷一样,Skip-2.0也使用了加密的VMProtected launcher、自定义封隔器、内加载器注入器和挂钩框架来安装后门,并通过利用属于系统启动服务的Windows进程中的DLL劫持漏洞,在目标系统上持久存在。

由于Skip-2.0恶意软件是一种利用后的工具,因此攻击者首先需要破坏目标MSSQL服务器,使其具有实现持久性和隐身性所需的管理特权。

请注意,即使MSSQL Server 11和12不是最新版本(分别于2012年和2014年发布),但根据Censys的数据,它们是最常用的版本。