Chinesische Hacker erstellen Sie eine neue Backdoor für MSSQL-Server

ESET-Spezialisten entdeckt ein neues Werkzeug, die chinesischen Hacker aus der Winnti Gruppe erstellt und wurde, dass auf Microsoft SQL Server, um Änderungen entworfen (MSSQL) Datenbanken, um eine Backdoor zu erstellen.

EINs ein zusätzlicher Vorteil, ein Backdoor verbirgt Sitzungen in Datenbankverbindung protokolliert jedes Mal Hacker verwenden ein „Magie Passwort“, das hilft Angreifer unbemerkt.

„Solch ein Backdoor könnte ein Angreifer verstohlen kopieren, ändern oder Datenbankinhalte löschen. Dies könnte verwendet werden,, Zum Beispiel, In-Game-Währungen für finanziellen Gewinn zu manipulieren. In-Game-Währung Datenbank Manipulationen von Winnti Betreiber haben bereits berichtet“worden, - Schreib ESET Spezialisten.

Das Werkzeug wird skip-2.0 bezeichnet und sollte die MS SQL-Funktionen ändern, die für die Authentifizierungsverarbeitung verantwortlich sind. Angreifer eine Backdoor einsetzen, nachdem ihre Ziele auf andere Weise zu beeinträchtigen, als Haken erfordert die Installation Administratorrechte. eigentlich, das Werkzeug wird verwendet, Stealth zu erhöhen und eine nachhaltige Präsenz zu schaffen.

Die Grundidee hinter Skip-2.0 ist das oben genannte „magische Passwort“ zu erstellen. Wenn ein solches Passwort wird in jedem Authentifizierungssitzung eingegeben, der Benutzer wird automatisch der Zugriff gewährt; während der üblichen Protokollierung und Audit-Funktionen funktionieren nicht, es ergibt sich eine gespenstische Sitzung, die überall nicht bemerkt wird.

lesen Sie auch: Graboid Bergbau Wurm verbreitet sich über Docker-Container

Nach Meinung von Experten, überspringen-2.0 funktioniert nur mit MSSQL-Server-Versionen 12 und 11. Obwohl MSSQL Server 12 in veröffentlicht wurde zurück 2014, Gemäß Censys, Diese Version ist die am häufigsten verwendeten.

Bei der Analyse des Skip-2.0-Code, Experten fanden Hinweise darauf, dass es mit anderen Winnti Tools verbindet, insbesondere mit der PortReuse und ShadowPad Backdoors. PortReuse ist ein Backdoor für IIS-Server von ESET entdeckt in kompromittiert Netzwerken von Hardware- und Software-Lieferanten in Südasien zu Beginn dieses Jahres. ShadowPad ist ein Backdoortrojaner für die Windows-, Zum ersten Mal gesehen Innenanwendungen von südkoreanischen Software-Hersteller NetSarang erstellt, wenn chinesische Hacker in seine Infrastruktur Mitte 2017 brach.

Ähnliche Manipulationen mit Währungen im Spiel wurden bereits zu Beginn dieses Jahres berichtet, und FireEye Spezialisten später damit verbundenen diese Angriffe mit APT41.

Der Skip-2.0 Backdoor ist eine interessante Ergänzung zu Arsenal der Winnti Gruppe, Teile bereits bekannt Toolset viele Ähnlichkeiten mit der Gruppe, und ermöglicht den Angreifer zu erreichen Persistenz auf einem MSSQL Server. Bedenkt man, dass Administratorrechte für die Installation der Haken erforderlich sind, skip-2.0 muss auf bereits kompromittiert MSSQL-Server verwendet werden Persistenz und Heimlichkeiten zu erreichen.

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

Dacls RAT (Entfernen Sie den Access-Trojaner)

Wie man die Dacls RAT loswird (Entfernen Sie den Access-Trojaner)?

Dacls RAT, auch als Dacls Remote Access Trojaner bekannt, ist bösartige Software, die darauf abzielt …

So entfernen Sie DirectXRunnable.exe einfach in kürzester Zeit

Ein neuer, Eine äußerst unsichere Cryptocurrency Miner-Infektion wurde tatsächlich von Schutzwissenschaftlern entdeckt. Das …

Hinterlasse eine Antwort