ESET-Spezialisten entdeckt ein neues Werkzeug, die chinesischen Hacker aus der Winnti Gruppe erstellt und wurde, dass auf Microsoft SQL Server, um Änderungen entworfen (MSSQL) Datenbanken, um eine Backdoor zu erstellen.
EINs ein zusätzlicher Vorteil, ein Backdoor verbirgt Sitzungen in Datenbankverbindung protokolliert jedes Mal Hacker verwenden ein „Magie Passwort“, das hilft Angreifer unbemerkt.„Solch ein Backdoor könnte ein Angreifer verstohlen kopieren, ändern oder Datenbankinhalte löschen. Dies könnte verwendet werden,, Zum Beispiel, In-Game-Währungen für finanziellen Gewinn zu manipulieren. In-Game-Währung Datenbank Manipulationen von Winnti Betreiber haben bereits berichtet“worden, - Schreib ESET Spezialisten.
Das Werkzeug wird skip-2.0 bezeichnet und sollte die MS SQL-Funktionen ändern, die für die Authentifizierungsverarbeitung verantwortlich sind. Angreifer eine Backdoor einsetzen, nachdem ihre Ziele auf andere Weise zu beeinträchtigen, als Haken erfordert die Installation Administratorrechte. eigentlich, das Werkzeug wird verwendet, Stealth zu erhöhen und eine nachhaltige Präsenz zu schaffen.
Die Grundidee hinter Skip-2.0 ist das oben genannte „magische Passwort“ zu erstellen. Wenn ein solches Passwort wird in jedem Authentifizierungssitzung eingegeben, der Benutzer wird automatisch der Zugriff gewährt; während der üblichen Protokollierung und Audit-Funktionen funktionieren nicht, es ergibt sich eine gespenstische Sitzung, die überall nicht bemerkt wird.
lesen Sie auch: Graboid Bergbau Wurm verbreitet sich über Docker-Container
Nach Meinung von Experten, überspringen-2.0 funktioniert nur mit MSSQL-Server-Versionen 12 und 11. Obwohl MSSQL Server 12 in veröffentlicht wurde zurück 2014, Gemäß Censys, Diese Version ist die am häufigsten verwendeten.
Bei der Analyse des Skip-2.0-Code, Experten fanden Hinweise darauf, dass es mit anderen Winnti Tools verbindet, insbesondere mit der PortReuse und ShadowPad Backdoors. PortReuse ist ein Backdoor für IIS-Server von ESET entdeckt in kompromittiert Netzwerken von Hardware- und Software-Lieferanten in Südasien zu Beginn dieses Jahres. ShadowPad ist ein Backdoortrojaner für die Windows-, Zum ersten Mal gesehen Innenanwendungen von südkoreanischen Software-Hersteller NetSarang erstellt, wenn chinesische Hacker in seine Infrastruktur Mitte 2017 brach.
Ähnliche Manipulationen mit Währungen im Spiel wurden bereits zu Beginn dieses Jahres berichtet, und FireEye Spezialisten später damit verbundenen diese Angriffe mit APT41.
Der Skip-2.0 Backdoor ist eine interessante Ergänzung zu Arsenal der Winnti Gruppe, Teile bereits bekannt Toolset viele Ähnlichkeiten mit der Gruppe, und ermöglicht den Angreifer zu erreichen Persistenz auf einem MSSQL Server. Bedenkt man, dass Administratorrechte für die Installation der Haken erforderlich sind, skip-2.0 muss auf bereits kompromittiert MSSQL-Server verwendet werden Persistenz und Heimlichkeiten zu erreichen.
