ESET的研究人员近日发现黑客组织WinntiGroup编写的新恶意软件,该恶意软件用于在微软SQLServer(MSSQL)系统上潜伏下来。
攻击者可以利用名为skip-2.0的新恶意工具,将后门植入到MSSQLServer11和12服务器中,从而使他们能够使用所谓的“魔法密码”(magicpassword)连接到服务器上的任何帐户,并隐藏活动、不被安全日志发现。
ESET的研究员MathieuTartare说:“该后门使攻击者不仅可以通过使用一个特殊密码,在受害者的MSSQLServer上潜伏下来,还由于使用该密码后禁用了多个日志和事件发布机制,无法被检测出来。”
WinntiGroup是个笼统的术语,它是指黑客组织(赛门铁克追踪的Blackfly和Suckfly、CrowdStrike追踪的WickedPanda、微软追踪的BARIUM以及FireEye追踪的APT41),这些黑客组织共享自2011年前后以来就在使用的同一批恶意工具。
卡巴斯基在大量受感染的游戏系统上发现了黑客的Winnti特洛伊木马,这个木马通过一款游戏的官方更新服务器来传播。ESET的研究人员分析了这个新的后门后,还发现skip-2.0与其他WinntiGroup恶意软件、“尤其是PortReuse后门和ShadowPad后门”有着某些共同的特征。WinReti黑客曾对一家知名的亚洲移动软件和硬件制造商的服务器发动了攻击,当时在攻击中使用了PortReuse这个模块化的Windows后门。
此外,PortReuse还是“一种网络植入程序,它将自己注入到已经在侦听网络端口的进程中,等待隐蔽的入站数据包触发恶意代码。”
ShadowPad是该组织使用的另一个Winnti后门,曾在2017年用来发动攻击供应链,那次攻击影响了韩国网络连接解决方案制造商NetSarang,当时这个黑客组织成功地用后门感染了该公司的服务器管理软件。这三个后门都使用同样的VMProtected启动器和该组织自行编写的恶意软件打包程序,而最重要的是,还跟与该威胁组织过去的攻击行动有关的另外几个工具有另外诸多相似之处。
一旦植入到已经中招的MSSQL服务器上,skip-2.0后门会继续通过sqllang.dll将其恶意代码注入到sqlserv.exe进程中,通过钩子(hook)把用于将身份验证记入日志的多个函数关联起来。这让恶意软件得以绕过服务器的内置身份验证机制,那样一来,即使攻击者输入的帐户密码不匹配,也允许他们登录进去。
ESET说:“该函数的钩子(hook)检查用户提供的密码是否与魔法密码匹配,在这种情况下,原始函数不会被调用,钩子会返回0,即使没有提供正确的密码也允许连接。”Tartare补充道:“我们针对多个MSSQLServer版本测试了skip-2.0,结果发现只有MSSQLServer11和12存在使用特殊密码就能够成功登录这种情况。”
据ESET的研究人员从Censys获得的数据显示,虽然MSSQLServer11和12不是最近发布的版本(分别在2012和2014年发布),但它们却是最常见的版本。
ESET的研究小组总结道:“skip-2.0后门是WinntiGroup武器库中值得关注的新增武器,它与该组织已知臭名昭著的工具集有诸多相似之处,让攻击者得以在MSSQLServer上永久潜伏下来。”
“考虑到安装钩子需要管理员特权,必须在已经中招的MSSQLServer上使用skip-2.0,才能永久潜伏下来,并保持不被察觉。”