اخبار

هکرهای چینی از یک بدافزار جدید برای SQL Server استفاده می کنند #۲

بدافزارهای جدیدی که با پشتیبانی چینی‌ها توسط گروه Winnti ایجادشده بود توسط محققان ESET کشف‌شده است. از این بدافزار برای ایجاد دسترسی پایدار در سیستم‌های Microsoft SQL Server (MSSQL) استفاده می‌شود.

مهاجمان می‌توانند از ابزار مخرب جدیدی به نام skip-2.0 به‌عنوان در پشتی بر روی پایگاه داده MSSQL Server 11, 12 استفاده کنند. مهاجمان از طریق این بدافزار می‌توانند با استفاده از کدی که اصطلاحاً رمز جادویی نامیده می‌شود به هرکدام از حساب‌های تعریف‌شده روی سرور دسترسی پیدا کنند و همچنین فعالیت‌های خود از پرونده‌های امنیتی پنهان کرده و هیچ‌گونه ردپایی از خود بر جای نگذارند.

طبق گفتهٔ محقق شرکت ESET: این در پشتی تنها اجازهٔ استقرار مهاجم در MSSQL Server قربانی از طریق استفاده رمز عبور ویژه را می‌دهد، بلکه به لطف مکانیسم‌های متعدد انتشار و رویداد که هنگام استفاده از این رمز عبور غیرفعال می‌شوند مهاجم ناشناخته باقی خواهد ماند.

گروه Winnti که یک نام پوششی است و توسط گروه هکرهایی که تحت حمایت دولت چین هستند استفاده می‌شود از سال ۲۰۱۱ اقدام به انتشار بدافزارهای مخرب این‌چنینی کرده‌اند. (گروه Blackfly and Suckfly شناسایی‌شده توسط Symantec، گروه Wicked Panda شناسایی‌شده توسط CrowdStrike، گروه BARIUM شناسایی‌شده توسط Microsoft و گروه APT41 شناسایی‌شده توسط FireEye)

محققان ESET پس از تجزیه‌وتحلیل در پشتی جدید متوجه شده‌اند که skip-2.0 ازنظر ساختار شامل برخی ویژگی‌های مشاهده‌شده در سایر بدافزارهای گروه Winnti به‌خصوص PortReuse و ShadowPad است.

SQL Server

نسخه های تحت حمله SQL Server

زمانی که MSSQL server مورد هدف قرار گیرد، در پشتی skip-2.0 از طریق sqllang.dll کدهای مخرب خود را در فرآیند sqlserv.exe تزریق می‌کند و عملکردهای مختلفی را که برای ثبت احراز هویت استفاده می‌شود، شناسایی می‌کند. این امر به بدافزار اجازه می‌دهد تا از سازوکار ایجادشده در سرور برای احراز هویت، عبور کند.

ESET می‌گوید: این عملکرد بررسی می‌کند که آیا رمز عبور ارائه‌شده توسط کاربر با رمز جادویی مطابقت دارد، در این حالت، تابع اصلی فراخوانی نمی‌شود و مقدار ۰ توسط تابع بازمی‌گردد و اتصال امکان‌پذیر می‌شود حتی اگر رمز صحیحی ارائه نشده باشد.

همچنین Tartare افزود ما skip-2.0 را بر روی چندین نسخه سرور MSSQL تست کردیم و دریافتیم که فقط در نسخه‌های ۱۱ و ۱۲ MSSQL Server پس از استفاده از رمز عبور ویژه می‌توانیم با موفقیت وارد سیستم شویم.

SQL Server

درحالی‌که نسخه‌های ۱۱ و ۱۲ MSSQL Server جدیدترین نسخه‌های منتشرشده نیستند (آن‌ها در سال ۲۰۱۲ و ۲۰۱۴ منتشر شدند) طبق اطلاعاتی که محققان ESET از Censys دریافت کرده‌اند، رایج‌ترین آن‌ها هستند.

گروه تحقیقاتی ESET می‌گوید: در پشتی skip-2.0 علاوه بر جلب کمک به افزایش منابع گروه Winnti، بسیاری از شباهت‌ها را با ابزارهای شناخته‌شده این گروه به اشتراک می‌گذارد و به مهاجم این امکان را می‌دهد که روی سرور MSSQL پایداری ایجاد کند.

مطالب مرتبط:
پیکربندی نادرست Elasticsearch و خطر افشای اطلاعات ۷.۵ میلیون کاربر Adobe CC
بدافزار جدید ElasticSearch را به بات‌نت DDoS تبدیل می کند
MongoDB و افشای اطلاعات ۶۶ میلیون کاربر

منبع: Bleeping Computer

To Top