Apodado Skip-2.0 , el malware de puerta trasera es una herramienta posterior a la explotación que se ejecuta en la memoria y permite a los atacantes remotos conectarse a cualquier cuenta en el servidor que ejecute MSSQL versión 11 y versión 12 mediante el uso de una «contraseña mágica».
¿Y lo que es más? El malware logra permanecer sin ser detectado en el servidor MSSQL de la víctima al deshabilitar las funciones de registro de la máquina comprometida, la publicación de eventos y los mecanismos de auditoría cada vez que se utiliza la «contraseña mágica».
Con estas capacidades, un atacante puede copiar, modificar o eliminar sigilosamente el contenido almacenado en una base de datos, cuyo impacto varía de una aplicación a otra integrada con los servidores de destino.
«Esto podría usarse, por ejemplo, para manipular monedas en el juego para obtener ganancias financieras. Las manipulaciones de la base de datos de monedas en el juego por parte de los operadores de Winnti ya han sido reportadas». investigadores dijo.
Los hackers chinos crearon Microsoft SQL Server Backdoor
En su último informe publicado por la firma de seguridad cibernética ESET, los investigadores atribuyeron la puerta trasera Skip-2.0 a un grupo de actores de amenazas patrocinado por el estado chino llamado Winnti Group , ya que el malware contiene múltiples similitudes con otras herramientas conocidas de Winnti Group, en particular, PortReuse backdoor y ShadowPad .
Documentado por primera vez por ESET a principios de este mes, PortReuse backdoor es un implante de red pasivo para Windows que se inyecta en un proceso en ejecución que ya está escuchando en un puerto TCP, «reutiliza» un puerto ya abierto y espera un paquete mágico entrante para activar el malware código.
Visto por primera vez durante el ataque de la cadena de suministro contra el fabricante de software NetSarang en julio de 2017, ShadowPad es una puerta trasera de Windows que los atacantes implementan en las redes de las víctimas para obtener capacidades flexibles de control remoto.
Al igual que otras cargas útiles del Grupo Winnti, Skip-2.0 también usa un iniciador cifrado VMProtected, un empaquetador personalizado, un inyector de cargador interno y un marco de enganche para instalar la puerta trasera, y persiste en el sistema objetivo al explotar una vulnerabilidad de secuestro de DLL en un proceso de Windows que pertenece a un servicio de inicio del sistema.
Dado que el malware Skip-2.0 es una herramienta posterior a la explotación, un atacante primero debe comprometer los servidores MSSQL específicos para tener los privilegios administrativos necesarios para lograr persistencia y sigilo.
«Tenga en cuenta que a pesar de que MSSQL Server 11 y 12 no son las versiones más recientes (lanzadas en 2012 y 2014, respectivamente), son las más utilizadas según los datos de Censys», dijeron los investigadores.
Fuente: thehackernews.com