بدافزارهای جدیدی که با پشتیبانی چینیها توسط گروه Winnti ایجادشده بود توسط محققان ESET کشفشده است. از این بدافزار برای ایجاد دسترسی پایدار در سیستمهای Microsoft SQL Server (MSSQL) استفاده میشود.
مهاجمان میتوانند از ابزار مخرب جدیدی به نام skip-2.0 بهعنوان در پشتی بر روی پایگاه داده MSSQL Server 11, 12 استفاده کنند. مهاجمان از طریق این بدافزار میتوانند با استفاده از کدی که اصطلاحاً رمز جادویی نامیده میشود به هرکدام از حسابهای تعریفشده روی سرور دسترسی پیدا کنند و همچنین فعالیتهای خود از پروندههای امنیتی پنهان کرده و هیچگونه ردپایی از خود بر جای نگذارند.
طبق گفتهٔ محقق شرکت ESET: این در پشتی تنها اجازهٔ استقرار مهاجم در MSSQL Server قربانی از طریق استفاده رمز عبور ویژه را میدهد، بلکه به لطف مکانیسمهای متعدد انتشار و رویداد که هنگام استفاده از این رمز عبور غیرفعال میشوند مهاجم ناشناخته باقی خواهد ماند.
گروه Winnti که یک نام پوششی است و توسط گروه هکرهایی که تحت حمایت دولت چین هستند استفاده میشود از سال ۲۰۱۱ اقدام به انتشار بدافزارهای مخرب اینچنینی کردهاند. (گروه Blackfly and Suckfly شناساییشده توسط Symantec، گروه Wicked Panda شناساییشده توسط CrowdStrike، گروه BARIUM شناساییشده توسط Microsoft و گروه APT41 شناساییشده توسط FireEye)
محققان ESET پس از تجزیهوتحلیل در پشتی جدید متوجه شدهاند که skip-2.0 ازنظر ساختار شامل برخی ویژگیهای مشاهدهشده در سایر بدافزارهای گروه Winnti بهخصوص PortReuse و ShadowPad است.

نسخه های تحت حمله SQL Server
زمانی که MSSQL server مورد هدف قرار گیرد، در پشتی skip-2.0 از طریق sqllang.dll کدهای مخرب خود را در فرآیند sqlserv.exe تزریق میکند و عملکردهای مختلفی را که برای ثبت احراز هویت استفاده میشود، شناسایی میکند. این امر به بدافزار اجازه میدهد تا از سازوکار ایجادشده در سرور برای احراز هویت، عبور کند.
ESET میگوید: این عملکرد بررسی میکند که آیا رمز عبور ارائهشده توسط کاربر با رمز جادویی مطابقت دارد، در این حالت، تابع اصلی فراخوانی نمیشود و مقدار ۰ توسط تابع بازمیگردد و اتصال امکانپذیر میشود حتی اگر رمز صحیحی ارائه نشده باشد.
همچنین Tartare افزود ما skip-2.0 را بر روی چندین نسخه سرور MSSQL تست کردیم و دریافتیم که فقط در نسخههای ۱۱ و ۱۲ MSSQL Server پس از استفاده از رمز عبور ویژه میتوانیم با موفقیت وارد سیستم شویم.

درحالیکه نسخههای ۱۱ و ۱۲ MSSQL Server جدیدترین نسخههای منتشرشده نیستند (آنها در سال ۲۰۱۲ و ۲۰۱۴ منتشر شدند) طبق اطلاعاتی که محققان ESET از Censys دریافت کردهاند، رایجترین آنها هستند.
گروه تحقیقاتی ESET میگوید: در پشتی skip-2.0 علاوه بر جلب کمک به افزایش منابع گروه Winnti، بسیاری از شباهتها را با ابزارهای شناختهشده این گروه به اشتراک میگذارد و به مهاجم این امکان را میدهد که روی سرور MSSQL پایداری ایجاد کند.
مطالب مرتبط:
پیکربندی نادرست Elasticsearch و خطر افشای اطلاعات ۷.۵ میلیون کاربر Adobe CC
بدافزار جدید ElasticSearch را به باتنت DDoS تبدیل می کند
MongoDB و افشای اطلاعات ۶۶ میلیون کاربر
منبع: Bleeping Computer
