برای مشاهده نتایج کلید Enter و برای خروج کلید Esc را بفشارید.

شناسایی بدافزار backdoor در MS SQL server

محققین امنیت سایبری اخیرا یک درب پشتی را شناسایی کرده اند که برای سرور های مایکروسافت SQL طراحی شده که به هکر ها و مهاجمین این امکان را می دهد که به یک سیستمی که قبلا آلوده شده به طور مخفیانه از راه دور نفوذ کنند.

بد افزار درب پشتی Skip-2.0  در واقع یک ابزار برای بعد از اکسپلویت کردن است که روی حافظه اجرا میشود و به مهاجم اجازه می دهد با استفاده از یک magic password به هر حسابی روی سرور که روی MSSQL نسخه ۱۱ و ۱۲ کار می کند متصل شود.

بدافزار بد از اجرا شدن همچنان روی سرور MSSQL قربانی مخفی می ماند این کار را با از کار انداختن قابلیت های logging , event publishing و مکانیزم ممیزی سیستم  هربار که از magic password استفاده میشود ، انجام میدهد.

با استفاده از این قابلیت ها هکر میتواند بصورت مخفیانه هر محتوایی را که در دیتا بیس ذخیره شده کپی ،ویرایش ویا پاک کند که نتیجه  آن بسته به اپلیکیشنی که به سرور های هدف گرفته شده متصل است می تواند بسیار متفاوت باشد.

به عنوان مثال از این عملیات می توان در دستکاری کردن ارز های داخل بازی ها استفاده کرد و مواردی هم از این دستکاری ها گزارش شده.

در آخرین گزارش ارائه شده توسط شرکت امنیت سایبری ESET این بدافزار به گروه هکر های چینی Winnti منصوب شده وشباهت های زیادی با ابزار های شاخته شده توسط این گروه به خصوص درب پشتی PortReuse و ShadowPad دارد.

مانند سایر payload های این هکرها Skip-2.0 هم از یک لانچر رمزنگاری شده VMprotected  هم چنین custom packer, inner-loader injector استفاده می کند.و با اکسپلویت کردن یک آسیب پذیری DLL hijacking در یکی از فرایند های مربوط سرویس های استارآپ سیستم  ماندگار میشود.

از آنجاییکه Skip-2.0 یک ابزار برای بعد از اکسپلویت کردن است مهاجم ابتدا باید با آلوده کردن سرور MSSQL  دسترسی های مورد نیاز برای ماندگاری در سرور و پنهان کاری را بدست آورد.

شایان ذکر است با اینکه MSSQL 11 ,12 آخرین نسخه های ارائه شده نیستند ولی بر طبق آمار از Censys بیشترین استفاده هادر این نسخه ها صورت میگیرد.