Phát hiện phần mềm cửa hậu trong Microsoft SQL Server
Các nhà nghiên cứu an ninh mạng tuyên bố đã phát hiện ra một cửa hậu không có giấy tờ được thiết kế đặc biệt cho các máy chủ Microsoft SQL có thể cho phép kẻ tấn công từ xa kiểm soát một hệ thống đã bị xâm phạm mà chủ nhân của nó không hề phát hiện được.
Dubbed Skip-2.0, là phần mềm cửa sau độc hại, là một công cụ khai thác ngầm chạy trong bộ nhớ và cho phép kẻ tấn công từ xa kết nối với bất kỳ tài khoản nào trên máy chủ chạy MSSQL phiên bản 11 và phiên bản 12 bằng cách sử dụng “mật khẩu ma thuật”.
Để không bị phát hiện trên Máy chủ MSSQL của nạn nhân phần mềm này bằng cách vô hiệu hóa các chức năng ghi nhật ký của máy bị xâm nhập, xuất bản sự kiện và cơ chế kiểm toán mỗi khi sử dụng “mật khẩu ma thuật”.
Với những khả năng này, kẻ tấn công có thể lén lút sao chép, sửa đổi hoặc xóa nội dung được lưu trữ trong cơ sở dữ liệu, tác động của nó tùy theo từng ứng dụng được tích hợp với các máy chủ bị tấn công.
Ví dụ, để thao túng tiền tệ trong trò chơi nhằm thu lợi tài chính. Thao tác cơ sở dữ liệu tiền tệ trong trò chơi, trong bài báo cáo cùa Winnti” các nhà nghiên cứu cho biết.
Tin tặc Trung Quốc đã tạo ra Microsoft SQL Server Backdoor
Trong báo cáo mới nhất được công bố bởi công ty bảo mật không gian mạng ESET, các nhà nghiên cứu đã nghĩ rằng Skip-2.0 là của một nhóm gọi là Winnti Group của nhà nước Trung Quốc, vì phần mềm độc hại chứa nhiều điểm tương đồng với các công cụ khác của Winnti Group, đặc biệt là backReuse và PortPad .
Tài liệu đầu tiên được ESET ghi nhận vào đầu tháng này, backdoor của PortReuse là một mạng cấy ghép thụ động cho Windows, đưa chính nó vào một quy trình đang chạy trên một cổng TCP, “reusing” một cổng đã mở và chờ gói ma thuật đến để kích hoạt mã độc.
Lần đầu tiên được nhìn thấy trong cuộc tấn công supply-chain chống lại nhà sản xuất phần mềm NetSarang vào tháng 7 năm 2017, ShadowPad là một backdoor Windows mà kẻ tấn công triển khai trên các mạng nạn nhân để có được khả năng điều khiển từ xa.
Giống như các paloads khác của Winnti, Skip-2.0 cũng sử dụng trình khởi chạy VMProtected được mã hóa, custom packer, innerloader và hooking framwork để cài đặt backdoor và vẫn tồn tại trên hệ thống bằng cách khai thác lỗ hổng DLL trong quy trình Windows thuộc về một dịch vụ khởi động hệ thống.
“Lưu ý rằng mặc dù MSSQL Server 11 và 12 không phải là phiên bản mới nhất (lần lượt được phát hành vào năm 2012 và 2014), chúng là những phiên bản được sử dụng phổ biến nhất theo dữ liệu của Censys,” các nhà nghiên cứu cho biết.
Nguồn thehackernews.com