ads header

Breaking News

Phát hiện một backdoor mới đang nhắm mục tiêu vào các máy chủ Microsoft SQL Server

10/24/2019 12:21:00 SA , , , , , , , , , , ,

Các nhà nghiên cứu an ninh mạng mới đây tuyên bố đã phát hiện ra một backdoor mới chưa từng được biết đến trước đây, được thiết kế riêng cho các máy chủ Microsoft SQL có thể cho phép kẻ tấn công từ xa kiểm soát một hệ thống đã bị xâm nhập.




Phát hiện một backdoor mới đang nhắm mục tiêu vào các máy chủ Microsoft SQL Server - CyberSec365.org
Phát hiện một backdoor mới đang nhắm mục tiêu vào các máy chủ Microsoft SQL Server - CyberSec365.org
Được đặt tên là Skip-2.0, phần mềm độc hại backdoor này là một công cụ khai thác chạy trong bộ nhớ và cho phép kẻ tấn công từ xa kết nối với bất kỳ tài khoản nào trên máy chủ chạy MSSQL phiên bản 11 và phiên bản 12 bằng cách sử dụng "magic password".
Theo đó, mã độc Skip-2.0 sau khi lây nhiễm vào thiết bị nạn nhân, nó sẽ vô hiệu hóa các chức năng ghi logs, xuất event và cơ chế audit mechanisms mỗi khi sử dụng "magic password" nhằm tránh bị phát hiện. Với khả năng này, tin tặc hoàn toàn có thể sao chép, sửa đổi hoặc xóa nội dung được lưu trữ trong cơ sở dữ liệu.

Tin tặc Trung Quốc đã tạo Microsoft SQL Server Backdoor

Phát hiện một backdoor mới đang nhắm mục tiêu vào các máy chủ Microsoft SQL Server - CyberSec365.org
Phát hiện một backdoor mới đang nhắm mục tiêu vào các máy chủ Microsoft SQL Server - CyberSec365.org



Trong báo cáo mới nhất được công bố bởi công ty an ninh mạng ESET, các nhà nghiên cứu quy trách nhiệm về mã độc Skip-2.0 cho Winnti Group - một nhóm tin tặc được bảo trợ bởi chính phủ Trung Quốc, vì phần mềm độc hại chứa nhiều điểm tương đồng với các công cụ nổi tiếng khác của nhóm Winnti, đặc biệt là PortReuse backdoor và ShadowPad.
Giống như các tải trọng khác của nhóm tin tặc Winnti Group, Skip-2.0 cũng sử dụng trình khởi chạy VMProtected được mã hóa, trình đóng gói tùy chỉnh, bộ nạp nội bộ và framework để cài đặt backdoor và tiếp tụp tồn tại trên hệ thống được nhắm mục tiêu bằng cách khai thác lỗ hổng DLL trong các tiến trình khỏi động hệ thống của Windows .
Do phần mềm độc hại Skip-2.0 là một công cụ khai thác, trước tiên kẻ tấn công cần phải thỏa hiệp các máy chủ MSSQL được nhắm mục tiêu để có các đặc quyền quản trị cần thiết để đạt được tính bền bỉ và tàng hình.
"Lưu ý rằng mặc dù MSSQL Server 11 và 12 không phải là phiên bản mới nhất (lần lượt được phát hành vào năm 2012 và 2014), chúng là những phiên bản được sử dụng phổ biến nhất theo dữ liệu của Censys," các nhà nghiên cứu cho biết.
Đại Phát (Theo THN)



Không có nhận xét nào

Đăng ký: Đăng Nhận xét ( Atom )