CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Sute de servere Microsoft SQL infectate cu un nou malware

Cercetătorii în domeniul securității au descoperit un nou tip de malware care vizează serverele Microsoft SQL. Denumit Maggie, backdoor-ul a infectat deja sute de mașini din întreaga lume.

Maggie este controlat prin intermediul interogărilor SQL și are capabilități de brute force pentru logare cu drepturi de administrator pe alte servere Microsoft SQL.

Backdoor-ul a fost descoperit de analiștii germani Johann Aydinbas și Axel Wauer de la DCSO CyTec.

Analiza malware-ului a dezvăluit că acesta este livrat sub forma unui DLL Extended Stored Procedure („sqlmaggieAntiVirus_64.dll„) care este semnat digital de DEEPSoft Co. Ltd.

Fișierele Extended Stored Procedure extind funcționalitatea interogărilor SQL prin utilizarea unui API care primește argumente de la distanță ale utilizatorului și răspunde cu date nestructurate.

Maggie folosește acest comportament tehnic pentru a permite accesul de la distanță prin backdoor a unui set de 51 de comenzi.

Un raport al DCSO CyTec afirmă că varietatea de comenzi acceptate de Maggie permite interogarea informațiilor de sistem, executarea de programe, interacțiunea cu fișiere și foldere, activarea serviciilor desktop la distanță (TermService), rularea unui proxy SOCKS5 și configurarea redirecționării de porturi.

Lista de comenzi include patru comenzi „Exploit”, ceea ce indică faptul că atacatorul poate utiliza vulnerabilități cunoscute pentru anumite acțiuni, cum ar fi adăugarea unui nou utilizator.

Cu toate acestea, analiștii nu au putut testa exploatările, deoarece acestea par să depindă de un DLL suplimentar care nu este livrat cu Maggie.

Acțiunea de brute force a parolelor de administrator se întâmplă prin intermediul comenzilor „SqlScan” și „WinSockScan” după definirea unui fișier cu lista de parole și a unui număr de threaduri.

Malware-ul oferă o funcționalitate simplă de redirecționare TCP, care permite atacatorilor să se conecteze la orice adresă IP la care serverul MS-SQL infectat poate ajunge.

„Atunci când este activat, Maggie redirecționează orice conexiune de intrare (pe orice port pe care serverul MSSQL ascultă) către un IP și un port stabilite anterior, dacă adresa IP sursă se potrivește cu o mască IP specificată de utilizator” – DCSO CyTec.

De asemenea, malware-ul dispune de funcționalitatea proxy SOCKS5 pentru a direcționa toate pachetele de rețea prin intermediul unui server proxy, ceea ce îl face și mai puțin vizibil dacă este necesar.

Sursa: https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică