هکرهای چینی از بدافزار جدید بمنظور Backdoor گذشتن به سرورهای Microsoft SQL استفاده می کنند.

دسته بندی ها : اخبار 15 آبان 1398 آپا دانشگاه تبریز 763 بازدید

بدافزار جدید ایجاد شده توسط گروه Chinese-backed Winnti توسط محققان ESET کشف شده است در حالی که از آن برای دستیابی به ماندگاری (Persistence) در سیستم های Microsoft SQL Server (MSSQL) استفاده می شود.

ابزار مخرب جدید به نام skip-2.0 می تواند برای backdoor کردن سرور های MSSQL Server 11 and 12 استفاده کند و آنها را قادر می سازد تا با استفاده از “magic password” به هر حساب کاربری روی سرور وصل شوند و فعالیت خود را از روی پرونده های امنیتی مخفی کنند.

Mathieu Tartare محقق ESET می گوید:”این backdoor به مهاجم اجازه می دهد تا نه تنها از طریق استفاده از رمز عبور ویژه در سرور MSSQL قربانی، دسترسی ماندگار داشته باشد، بلکه به علت غیرفعال شدن مکانیسم های لاگ گیری هنگام استفاده از آن گذرواژه، ناشناخته باقی بمانند.”

مجموعه ابزراهای گروه Winnti رو به رشد است.

گروه Winnti یک اصطلاح چتری است که به عنوان اسم گروه های هک تحت حمایت چین (شناسایی شده به عنوان Blackfly و Suckfly توسط Symantec ، Wicked Panda by CrowdStrike ، BARIUM توسط Microsoft ، APT41 توسط FireEye) استفاده می‌شود.

این زمانی است که Kaspersky، تروجان هکرهای Winnti  را در تعداد زیادی از سیستم های بازی هک شده پیدا کرد که از طریق سرور بروزرسانی رسمی بازی دریافت شده بود.

پس از تجزیه و تحلیل backdoor جدید، محققان ESET کشف کرده اند که skip-2.0 برخی از صفات را با سایر بدافزارهای گروه Winnti، “به ویژه، backdoor های PortReuse و ShadowPad” به اشتراک می گذارد.

PortReuse، درپشتی ماژولار Windows، توسط هکرهای Winnti در حمله ای که سرورهای یک شرکت نرم افزار و سازنده سخت افزار موبایل مهم آسیا را هدف قرار داده بود، مورد استفاده قرار گرفته شده بود.

همچنین، PortReuse “ایمپلنت شبکه ای است که خود را به فرآیندی که از قبل در حال گوش دادن به پورت شبکه است، تزریق می کند و منتظر یک magic packet دریافتی برای فعال کردن کد مخرب است.”

ShadowPad یکی دیگر از backdoor های Winnti است که توسط این گروه به عنوان بخشی از حمله زنجیره تأمین از سال ۲۰۱۷ مورد استفاده قرار گرفته و شرکت NetSarang را تحت تأثیر قرار داد. این شرکت سازنده ی راه حل های اتصال به شبکه، متعلق به کره جنوبی می‌باشد.

MSSQL Server 11 and 12 تحت حمله

پس از نفوذ به MSSQL server هک شده، skip-2.0 backdoor اقدام به تزریق کد مخرب خود در فرآیند sqlserv.exe از طریق sqllang.dll می کند که عملکردهای مختلفی را که برای ورود به سیستم احراز هویت انجام می شود، تغییر میدهد.

این امر به بدافزار اجازه می دهد تا مکانیسم authentication سرور را دور بزند و به این ترتیب اجازه می دهد تا اپراتورهای حتی با وارد کردن گذرواژه­ نادرست، به حساب وارد شوند.

ESET می گوید:” قلاب (hook) این تابع بررسی می کند که آیا رمزعبور ارائه شده توسط کاربر با magic password مطابقت دارد، در این حالت، تابع اصلی فراخوانی نمی شود و قلاب ۰ برمی گرداند و حتی اگر رمز عبور صحیح ارائه نشده است اجازه ی اتصال می دهد.

Tartare می افزاید:” ما skip-2.0 را در برابر چندین نسخه سرور MSSQL آزمایش کردیم و دریافتیم که فقط با MSSQL Server 11 و ۱۲ توانستیم با استفاده از رمز عبور ویژه با موفقیت وارد سیستم شویم.”

در حالی که MSSQL Server 11 و ۱۲ جدیدترین نسخه منتشر شده نیستند – آنها در سال ۲۰۱۲ و ۲۰۱۴ منتشر شدند – طبق اطلاعاتی که محققان ESET از Censys دریافت کرده اند، این ورژنها رایج ترین در بین دیگر گزینه ها می­باشند.

تیم تحقیقاتی ESET نتیجه می دهد:” skip-2.0 backdoor یک افزودنی جالب برای مجموعه ابزارهای گروه Winnti است و بسیاری از شباهت ها را با ابزار شناخته شده این گروه به ارث می برد و به مهاجم اجازه می دهد تا روی سرور MSSQL به پایداری یا persistence برسد.”

“با توجه به اینکه امتیازات سطح ادمین برای نصب hook ها لازم است، skip-2.0 باید برروی سرورهای MSSQL از قبل هک شده استفاده کند تا به پایداری و مخفی ماندن برسد.”

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد.

    لینک کوتاه :