중국어 해커는 MSSQL 서버에 대한 새로운 백도어를 만들

ESET 전문가 발견 Winnti 그룹에서 중국어 해커를 생성하고이 마이크로 소프트 SQL 서버를 변경하기 위해 디자인 된 새로운 도구 (MSSQL) 백도어를 생성하기 위해 데이터베이스.

에이추가 혜택이야, 백도어는 데이터베이스 연결에서 세션마다 해커 "은을 사용하여 로그 숨 깁니다마법의 비밀", 이는 공격자가 간과하는 데 도움이.

"이러한 백도어는 공격자가 은밀하게 복사 할 수있는, 수정하거나 데이터베이스의 내용을 삭제. 이 사용될 수있다, 예를 들면, 금융 이익을 위해 게임 내 통화를 조작하는. 게임 내 Winnti 운영자에 의해 통화 데이터베이스 조작은 이미 "보고되었다, - 쓰기 ESET 전문가.

이 도구는 스킵-2.0이라고 및 인증 처리를 담당하는 MSSQL 기능을 수정하기위한 것일뿐입니다. 공격자는 다른 방법으로 자신의 목표를 손상 후 백도어를 배포, 후크로 설치는 관리자 권한이 필요. 사실로, 이 도구는 스텔스을 높이고 지속 가능한 존재를 만드는 데 사용됩니다.

스킵-2.0의 기본 개념은 전술 한 "마법의 암호를"만드는 것입니다. 이러한 암호는 인증 세션에서 입력 한 경우, 사용자는 자동으로 액세스 권한이 부여됩니다; 일반적인 로깅 및 감사 기능이 작동하지 않는 동안, 그것은 어디서나 언급되지 않은 유령 세션 결과.

또한 읽기: Graboid 광산 웜은 도커 용기를 통해 확산

전문가에 따르면, 스킵 2.0 만 MSSQL 서버 버전에서 작동 12 과 11. MSSQL 서버 비록 12 다시 출시 된 2014, 에 따르면 Censys, 이 버전은 가장 자주 사용되는입니다.

스킵-2.0 코드의 분석 중, 전문가들은 다른 Winnti 도구를 연결하는 증거를 발견, 와 특히 PortReuseShadowPad 백도어. PortReuse 올해의 시작 부분에 남아시아의 하드웨어 및 소프트웨어 공급 업체의 손상 네트워크에서 ESET에 의해 발견 IIS 서버에 대한 백도어입니다. ShadowPad는 윈도우 백도어 트로이 목마, 처음 볼 중국어 해커 중순 2017 년 인프라에 침입 할 때 한국의 소프트웨어 업체 인 넷 사랑에 의해 만들어진 내부 응용 프로그램.

게임 내 통화와 비슷한 조작은 이미 올해 초에보고되었다, 그리고 파이어 아이의 전문가 나중에 관련 이러한 공격 APT41.

스킵-2.0 백도어는 Winnti 그룹의 무기고에 흥미로운 추가되었습니다, 그룹의 이미 알려진 도구 세트와 유사성의 큰 거래를 공유, 공격자를 허용하는 것은 MSSQL 서버에 지속성을 달성하기 위해. 관리 권한이 후크를 설치하는 데 필요한 것을 고려, 스킵 2.0 것은 지속성과 stealthiness을 달성하기 위해 이미 손상 MSSQL 서버에서 사용할 수 있어야합니다.

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Dacls RAT (액세스 트로이 제거)

Dacls RAT를 제거하는 방법 (액세스 트로이 제거)?

Dacls RAT, Dacls Remote Access Trojan이라고도 함, 대상으로하는 악성 소프트웨어입니다 …

DirectXRunnable.exe를 쉽게 제거하는 방법

새로운, 매우 안전하지 않은 cryptocurrency 광부 감염은 실제로 보호 과학자들에 의해 발견되었습니다.. 그만큼 …

회신을 남겨주