Hackers chinos crean una nueva puerta trasera para servidores MSSQL
Los especialistas de ESET descubrieron un nuevo malware creado por intrusos chinos del grupo Winnti y diseñado para realizar cambios en las bases de datos de Microsoft SQL Server (MSSQL) para crear una puerta trasera. Como beneficio adicional, una puerta trasera oculta las sesiones en los registros de conexión de la base de datos cada vez que los hackers usan una "contraseña mágica", que ayuda a los atacantes a pasar desapercibidos.
La herramienta se llama skip-2.0 y está destinada a modificar las funciones MSSQL que son responsables del procesamiento de autenticación. Los atacantes implementan una puerta trasera después de comprometer sus objetivos de otras maneras, ya que la instalación de privilegios requiere privilegios administrativos. De hecho, la herramienta se utiliza para aumentar el sigilo y crear una presencia sostenible.
La idea básica detrás de skip-2.0 es crear la "contraseña mágica" mencionada anteriormente. Si se ingresa dicha contraseña en cualquier sesión de autenticación, el usuario obtiene acceso automáticamente, mientras que las funciones habituales de registro y auditoría no funcionan, lo que resulta en una sesión fantasma que no se ha tenido en cuenta en ningún lado.
Según los expertos, skip-2.0 solo funciona con los servidores MSSQL versiones 12 y 11. Y aunque MSSQL Server 12 se lanzó en 2014, según Censys, esta versión es la más utilizada.
Durante el análisis del código skip-2.0, los expertos descubrieron evidencia que lo conecta con otras herramientas de Winnti, en particular con las puertas traseras PortReuse y ShadowPad. PortReuse es una puerta trasera para servidores IIS descubierta por ESET en redes comprometidas de proveedores de hardware y software en el sur de Asia a principios de este año. ShadowPad es un troyano de puerta trasera de Windows visto por primera vez dentro de las aplicaciones creadas por el fabricante de software surcoreano NetSarang cuando los hackers chinos irrumpieron en su infraestructura a mediados de 2017.
"Tal puerta trasera puede permitir a los atacantes copiar, modificar o eliminar en secreto el contenido de las bases de datos. Esto puede usarse, por ejemplo, para manipular monedas en el juego para obtener beneficios financieros ”, escriben los expertos de ESET.
Manipulaciones similares con monedas en el juego ya se informaron a principios de este año, y los especialistas de FireEye luego asociaron estos ataques con APT41.
Fuente: https://xakep.ru/
No olvides Compartir...