Hjem » Nyheter » Kinesiske hackere opprette en ny bakdør for MSSQL servere

Kinesiske hackere opprette en ny bakdør for MSSQL servere

ESET spesialister oppdaget et nytt verktøy som skapte kinesiske hackere fra Winnti gruppen og som er designet for å gjøre endringer i Microsoft SQL Server (MSSQL) databaser for å skape en bakdør.

ENer en ekstra fordel, en bakdør skjuler økter i databasetilkobling logger hver gang hackere bruker en “magi passord”, som bidrar angripere gå ubemerket.

“En slik bakdør kan tillate en angriper å snike kopiere, endre eller slette database innhold. Dette kan brukes, for eksempel, å manipulere i spillet valuta for økonomisk gevinst. In-game valuta database manipulasjoner av Winnti operatører har allerede blitt rapportert”, - skriv ESET spesialister.

Verktøyet heter ikke hopper 2.0 og har til hensikt å modifisere Mssql funksjoner som er ansvarlig for autentisering prosessering. Angripere distribuere en bakdør etter kompromittere sine mål på andre måter, som kroker installasjonen krever administratorrettigheter. Faktisk, verktøyet brukes til å øke list og skape en varig tilstedeværelse.

Den grunnleggende ideen bak skip-2.0 er å skape den nevnte “magic passord”. Dersom et slikt passord er lagt inn i noen autentiseringssesjon, brukeren automatisk tilgang; mens de vanlige logging og kontrollfunksjoner ikke virker, det resulterer i en spøkelsesaktig økt som ikke er nevnt noe sted.

Les også: Graboid gruvedrift orm spres gjennom Docker beholdere

Ifølge eksperter, hopp-2.0 virker bare med MSSQL servere versjoner 12 og 11. Selv MSSQL Server 12 ble sluppet tilbake i 2014, i følge Censys, denne versjonen er den mest brukte.

I løpet av analysen av skip-2,0-kode, eksperter funnet bevis som kobler det med andre Winnti verktøy, spesielt med den PortReuse og ShadowPad bakdører. PortReuse er en bakdør for IIS-servere oppdaget av ESET i kompromitterte nettverk av maskinvare og programvare leverandører i Sør-Asia i begynnelsen av dette året. ShadowPad er en bakdør Trojan for Windows, første sett innsiden programmer som er laget av sørkoreanske programvare maker NetSarang når kinesiske hackere brøt seg inn i sin infrastruktur i midten av 2017.

LESE  Remove SystemSpawn.exe Miner Trojan

Lignende manipulasjoner med i spillet valutaer var allerede rapportert i begynnelsen av dette året, og FireEye spesialister senere assosiert disse angrepene med APT41.

Hopp-2,0 bakdør er et interessant tillegg til Winnti konsernets arsenal, dele en god del likheter med konsernets allerede kjent verktøysett, og å tillate inntre oppnå utholdenhet på en MSSQL Server. Tatt i betraktning at administrative rettigheter er nødvendig for å installere krokene, hoppe-2.0 må brukes på allerede kompromittert MSSQL servere for å oppnå utholdenhet og stealthiness.

[Totalt:0    Gjennomsnitt:0/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

Zonealarm hacket med vBulletin sårbarhet

Zonealarm fora hacket på grunn av vBulletin sårbarhet

Forumet på Zonealarm, which is owned by Check Point and whose products are used

Hvordan fjerne Villedende:Win32 / Lodi virus?

Misleading:Win32/Lodi is a generic detection utilized by Microsoft Security Essentials, Windows Defender and other anti-virus

Legg igjen et svar