Casa » Notícia » hackers chineses criar uma nova backdoor para servidores MSSQL

hackers chineses criar uma nova backdoor para servidores MSSQL

especialistas da ESET descoberto uma nova ferramenta que criou hackers chineses do grupo Winnti e que foi projetado para fazer alterações em Microsoft SQL Server (MSSQL) bases de dados, a fim de criar um backdoor.

UMAé um benefício adicional, um backdoor esconde sessões em conexão com o banco registra cada vez que os hackers usam um “senha mágica”, o que ajuda os atacantes passam despercebidas.

“Tal backdoor poderia permitir que um invasor para copiar furtivamente, modificar ou apagar o conteúdo do banco de dados. Isto poderia ser usado, por exemplo, para manipular as moedas no jogo para ganho financeiro. No jogo de manipulações de base de dados de moeda por parte dos operadores Winnti já foram relatados”, - especialistas da ESET gravação.

O instrumento é chamado salto-2.0 e destina-se a modificar as funções MSSQL que são responsáveis ​​pelo processamento de autenticação. Atacantes implantar um backdoor após comprometer seus objetivos de outras maneiras, como ganchos de instalação requer privilégios administrativos. De fato, a ferramenta é usada para aumentar a furtividade e criar uma presença sustentável.

A idéia básica por trás skip-2.0 é criar a “senha mágica” acima mencionada. Se tal senha é digitada em qualquer sessão de autenticação, o usuário é automaticamente concedido acesso; enquanto as funções de registro e de auditoria habituais não funcionam, que resulta em uma sessão fantasmagórica que não é observado em qualquer lugar.

Leia também: sem-fim de mineração graboid se propaga através dos recipientes Docker

De acordo com os especialistas, skip-2.0 só funciona com MSSQL servidores versões 12 e 11. Embora MSSQL servidor 12 foi lançado em 2014, de acordo com Censys, esta versão é o mais utilizado.

Durante a análise do código de salto 2,0-, especialistas encontraram evidências de que a conecta com outras ferramentas Winnti, em particular, com a PortReuse e ShadowPad backdoors. PortReuse é um backdoor para servidores IIS descobertos pela ESET em redes comprometidas de fornecedores de hardware e software no sul da Ásia no início deste ano. ShadowPad é um Trojan backdoor para Windows, visto pela primeira vez aplicações dentro criado pela fabricante de software sul-coreano NetSarang quando hackers chineses invadiram sua infra-estrutura em meados de 2017.

LER  backdoor complexo descoberto esse grupo de cibercriminosos Turla usa desde 2014

manipulações semelhantes com moedas no jogo já foram relatadas no início deste ano, e especialistas FireEye mais tarde associado estes ataques com APT41.

O backdoor skip-2.0 é uma adição interessante para arsenal do Grupo Winnti, compartilhando uma grande quantidade de semelhanças com o conjunto de ferramentas já conhecidas do grupo, e permitindo que o invasor conseguir persistência em um servidor MSSQL. Considerando que são necessários privilégios administrativos para instalar os ganchos, ignorar-2,0 deve ser utilizado em servidores MSSQL já comprometidos para alcançar persistência e stealthiness.

[Total: 0    Média: 0/5]

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Como remover o vírus Uihost32.exe CPU Miner

Um novo em folha, extremamente vírus mineiro criptomoeda perigoso foi detectado por pesquisadores de segurança e proteção. …

Hacking torneio Pwn2Own Tokyo

Os participantes do hacker Pwn2Own torneio de Tóquio 2019 hackeada Samsung Galaxy S10, Xiaomi MI9, Amazon Eco e não só

O torneio de hackers Pwn2Own Tokyo 2019, tradicionalmente realizada como parte da conferência PacSec e …

Deixar uma resposta