Casa » Noticias » hackers chinos crean una nueva puerta trasera para servidores MSSQL

hackers chinos crean una nueva puerta trasera para servidores MSSQL

especialistas de ESET descubierto una nueva herramienta que crea hackers chinos del grupo Winnti y que fue diseñado para realizar cambios en Microsoft SQL Server (MSSQL) bases de datos con el fin de crear una puerta trasera.

UNAEs un beneficio añadido, una puerta trasera oculta en las sesiones de conexión de base registra cada vez que los piratas informáticos utilizan un “contraseña mágica”, que ayuda a los atacantes pasan desapercibidos.

“Tal puerta trasera podría permitir a un atacante para copiar furtivamente, modificar o eliminar el contenido de la base de datos. Esto podría ser utilizado, por ejemplo, para manipular las monedas en el juego para obtener ganancias financieras. En el juego de manipulaciones de bases de datos de los operadores de divisas Winnti ya se han reportado”, - Escritura de especialistas de ESET.

La herramienta se llama salto-2.0 y tiene por objeto modificar las funciones de MSSQL que son responsables de procesar la autenticación. Los atacantes despliegan una puerta trasera después de comprometer sus objetivos de otras maneras, como ganchos instalación requiere privilegios administrativos. De hecho, la herramienta se utiliza para aumentar el sigilo y crear una presencia sostenible.

La idea básica detrás de salto-2.0 es la creación de la mencionada “contraseña mágica”. Si se introduce una contraseña tal en cualquier sesión de autenticación, se otorga al usuario acceso automático; mientras que las funciones de registro y auditoría habituales no funcionan, que se traduce en una sesión fantasma que no se observó ninguna parte.

leer también: gusano de la minería Graboid propaga a través de los contenedores Docker

Según los expertos, skip-2.0 sólo funciona con versiones de MSSQL servidores 12 y 11. Aunque Servidor MSSQL 12 fue lanzado en 2014, de acuerdo a Censys, esta versión es la de uso más frecuente.

Durante el análisis del código de salto-2,0, expertos encontraron pruebas de que la conecta con otras herramientas Winnti, en particular, con el PortReuse y ShadowPad puertas traseras. PortReuse es una puerta trasera para los servidores IIS descubiertos por ESET en las redes comprometidas de proveedores de hardware y software en el sur de Asia a principios de este año. ShadowPad es un troyano de puerta trasera para Windows, visto por primera vez aplicaciones interiores creados por Corea del Sur fabricante de software NetSarang cuando los hackers chinos irrumpieron en su infraestructura a mediados de 2017.

LEER  hackers chinos crean software malicioso que puede robar Messagetap SMS desde redes de los operadores

manipulaciones similares con las monedas en el juego ya se informó a principios de este año, y especialistas FireEye tarde asociado estos ataques con APT41.

La puerta trasera de salto-2.0 es una interesante adición al arsenal del Grupo Winnti, compartir una gran cantidad de similitudes con el conjunto de herramientas ya conocidas del grupo, y permitiendo que el atacante para lograr la persistencia en un servidor MSSQL. Teniendo en cuenta que se requieren privilegios administrativos para instalar los ganchos, skip-2.0 debe ser utilizado en servidores MSSQL ya comprometidos para lograr la persistencia y sigilo.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

Cómo eliminar el virus PRESENOKER?

PRESENOKER es una detección genérica utilizada por Microsoft Security Essentials, Windows Defender y otros antivirus …

Mispadu se enmascara como anuncio de McDonald

Mispadu banca se disfraza de Troya bajo el anuncio de McDonalds

ESET expertos hablaron de un troyano bancario Mispadu de América Latina que enmascara bajo McDonald …

Deja una respuesta