在野外發現隱匿在微軟SQL Server中的首個惡意軟體後門

Editor發表於2019-10-23

在野外發現隱匿在微軟SQL Server中的首個惡意軟體後門

圖片來源:ZDNet



SQL Server 是Microsoft 公司推出的關係型資料庫管理系統。


以其具有良好的伸縮性和軟體整合度高等優點,在多個平臺上被廣泛使用。


同時SQL Server作為全面的資料庫平臺,利用整合的BI工具提供企業級的資料管理,使儲存更加安全可靠。


然而近日,研究人員在Microsoft SQL Server中發現了一個從未記錄的新後門,能夠使遠端攻擊者秘密控制已經受到破壞的系統。



全新的後門



駭客在MSSQL Server資料庫中秘密植入惡意軟體,並建立了後門機制,該機制可使駭客使用“魔法密碼”(magic password)連線到任何帳戶。


任何使用者在身份驗證對話方塊中輸入“魔法密碼”,將會自動授權該使用者訪問許可權,同時阻止執行正常的日誌記錄、事件釋出以及稽核機制,從而有效地在伺服器內部建立了虛假會話。


藉此後門將會隱藏在資料庫中,並且引導管理員懷疑其他錯誤,以逃避檢測,並且獲得實現永續性和隱身性所需的管理特權。


這樣一來,攻擊者能夠秘密地複製、修改或者刪除儲存在資料庫中的內容,其造成的影響因應用程式而異。
例如,可以透過此種手段操控遊戲中的貨幣資料庫,以獲取經濟利益。

Skip-2.0



作為首個公開記錄的MSSQL Server後門,Skip-2.0由駭客組織Winnti Group編寫,可以作為工具在記憶體中執行,並允許遠端攻擊者使用魔法密碼連線到執行MSSQL 11和12版本的任何賬戶。

在野外發現隱匿在微軟SQL Server中的首個惡意軟體後門
skip-2.0的拆包和注入

一旦植入到已經中招的MSSQL伺服器上,skip-2.0後門會繼續透過sqllang.dll將其惡意程式碼注入到sqlserv.exe程式中,透過鉤子(hook)把用於將身份驗證記入日誌的多個函式關聯起來。

這使其能夠繞過身份驗證機制,即使攻擊者輸入的帳戶密碼不匹配,也允許他們登入進去。

研究人員表示,該函式的鉤子(hook)檢查使用者提供的密碼是否與魔法密碼匹配,在這種情況下,原始函式不會被呼叫,鉤子會返回0,即使沒有提供正確的密碼也允許連線。

本次受影響的版本主要是MSSQL Server 11和12,分別與2012年和2014年釋出,儘管它們不是最新版本,但資料表明它們是最常用的版本。

因此受影響的使用者應該儘快更新到最新版本以確保避免受到此類安全威脅。



* 本文由看雪編輯 LYA 編譯自 The Hacker News,轉載請註明來源及作者。

相關文章