Microsoft SQL Server 백도어 악성 코드

사이버 보안 연구원들은 원격 공격자가 이미 손상된 시스템을 은밀하게 제어 할 수있는 Microsoft SQL 서버용으로 특별히 설계된 이전에 문서화되지 않은 백도어를 발견했다고 주장합니다. Backdoor 멀웨어는 Skip-2.0으로

불리우며 , 메모리에서 실행되는 원격 공격자가 "마법의 암호"를 사용하여 MSSQL 버전 11 및 버전 12를 실행하는 서버의 모든 계정에 연결할 수있는 탐색 후 도구입니다.

또 뭔데? 악성 코드는 "매직 암호"가 사용될 때마다 손상된 시스템의 로깅 기능, 이벤트 게시 및 감사 메커니즘을 비활성화하여 피해자의 MSSQL 서버에서 탐지되지 않은 상태로 유지됩니다.

이러한 기능을 통해 공격자는 데이터베이스에 저장된 콘텐츠를 몰래 복사, 수정 또는 삭제할 수 있으며, 대상 서버와 통합 된 응용 프로그램에 따라 그 영향이 다릅니다.

 

중국 해커, Microsoft SQL Server 백도어 구축

사이버 보안 회사 ESET이 발표 한 최신 보고서 에서 연구원들은 Skip-2.0 백도어를 Winnti Group 이라고 불리는 중국의 국가 후원 위협 행위자 그룹으로 평가 했습니다. 멀웨어에는 다른 알려진 Winnti Group 도구 (특히 PortReuse 백도어 및 ShadowPad)와 여러 유사성이 포함되어 있기 때문입니다 .

이달 초 ESET에서 처음으로 문서화 한 PortReuse 백도어는 Windows 용 수동 네트워크 임플란트로서 이미 TCP 포트에서 수신 대기중인 이미 실행중인 프로세스에 주입하고 이미 열려있는 포트를 "재사용"하며 악성 패킷을 트리거하기 위해 들어오는 매직 패킷을 기다립니다

 

2017 년 7 월 소프트웨어 제조업체 인 NetSarang 에 대한 공급망 공격 에서 처음 발견 된 ShadowPad는 공격자가 유연한 원격 제어 기능을 얻기 위해 대상 네트워크에 배포하는 Windows 백도어입니다.

다른 Winnti Group 페이로드와 마찬가지로 Skip-2.0은 암호화 된 VMProtected 런처, 사용자 정의 패커, 내부 로더 인젝터 및 후크 프레임 워크를 사용하여 백도어를 설치하고 Windows 프로세스의 DLL 하이재킹 취약성을 악용하여 대상 시스템에서 지속됩니다. 시스템 시작 서비스.

Skip-2.0 악성 코드는 악용 후 도구이므로 공격자는 먼저 대상 MSSQL 서버를 손상시켜 지속성과 은폐를 달성하는 데 필요한 관리 권한을 가져야합니다.

연구원들은 MSSQL Server 11과 12가 2012 년과 2014 년에 각각 출시 된 최신 버전은 아니지만 Censys의 데이터에 따르면 가장 일반적으로 사용되는 버전이라고 언급했다.