Artikel
SQL Backdoor durch Malware
| SQL Backdoor durch Malware | ||
| Geschrieben von SEKoner am 25.10.2019 um 11:28 Uhr | ||
Wie Szene-Webseiten berichten, wurde in den letzten Tagen auf Microsoft MySQL Servern vermehrt eine von einem chinesichen Hacker erstellte Malware gefunden, welche durch die Nutzung eines „magischen Passwortes“ vollen Zugriff auf die Datenbanken erlaubt. Die betreffenden SQL Datenbanken können hiermit völlig unbemerkt verändert und sogar kopiert werden. Getarnt wird dies durch deaktivierung der Log-Funktionen womit weder im Verlauf von Aktivitäten noch in einem anderen Log die Vorgänge protokolliert werden.
MSSQL Version 11 und 12 betroffen
Die „Dubbed-Skip 2.0“ benannte Malware läuft auf den Versionen 11 und 12 von Microsoft MSSQL Servern und nistet sich in den Speicher ein. Dort erlaubt er den getarnten vollen Zugriff.
In dem jüngsten Bericht des Cybersicherheitsunternehmens ESET schrieben Forscher die Skip-2.0-Backdoor einer staatlich geförderten chinesischen Bedrohungsgruppe namens Winnti Group zu, da die Malware zahlreiche Ähnlichkeiten mit anderen bekannten Winnti Group-Tools aufweist, insbesondere PortReuse-Backdoor und ShadowPad.
PortReuse Backdoor wurde Anfang dieses Monats erstmals von ESET dokumentiert und ist ein passives Netzwerkimplantat für Windows, das sich in einen laufenden Prozess einfügt, der bereits einen TCP-Port überwacht und einen bereits geöffneten Port "wiederverwendet", dort auf ein eingehendes spezielles Packet wartet, um dann den Code des Schadprogramm's auszulösen. ShadowPad wurde erstmals während eines Supply-Chain-Angriffs bei dem Softwarehersteller NetSarang im Juli 2017 vorgeführt und ist eine Windows-Hintertür, die Angreifer in Opfernetzwerken bereitstellen, um flexible Fernsteuerungsfunktionen zu erhalten.
Wie andere Anwendungen der Winnti-Gruppe verwendet Skip-2.0 auch den verschlüsselten VMProtected-Launcher, einen benutzerdefinierten Packer, Innerloader-Injector und Hooking-Framework, um die Backdoor zu installieren, und bleibt auf dem Zielsystem aktiv, indem eine DLL-Hijacking-Sicherheitsanfälligkeit in einem Windows-Prozess ausgenutzt wird, der zu einem Systemstartdienst gehört.
Auch wenn MSSQL Verion 11 und 12 schon alte Versionen sind, sind diese laut CENSYS die noch am meisten verwedeten Versionen. Es sollte also bei den betroffenen Unternehmen und Privatpersonen spätestens jetzt über ein Update nachgedacht werden.
MSSQL Version 11 und 12 betroffen
Die „Dubbed-Skip 2.0“ benannte Malware läuft auf den Versionen 11 und 12 von Microsoft MSSQL Servern und nistet sich in den Speicher ein. Dort erlaubt er den getarnten vollen Zugriff.
In dem jüngsten Bericht des Cybersicherheitsunternehmens ESET schrieben Forscher die Skip-2.0-Backdoor einer staatlich geförderten chinesischen Bedrohungsgruppe namens Winnti Group zu, da die Malware zahlreiche Ähnlichkeiten mit anderen bekannten Winnti Group-Tools aufweist, insbesondere PortReuse-Backdoor und ShadowPad.PortReuse Backdoor wurde Anfang dieses Monats erstmals von ESET dokumentiert und ist ein passives Netzwerkimplantat für Windows, das sich in einen laufenden Prozess einfügt, der bereits einen TCP-Port überwacht und einen bereits geöffneten Port "wiederverwendet", dort auf ein eingehendes spezielles Packet wartet, um dann den Code des Schadprogramm's auszulösen. ShadowPad wurde erstmals während eines Supply-Chain-Angriffs bei dem Softwarehersteller NetSarang im Juli 2017 vorgeführt und ist eine Windows-Hintertür, die Angreifer in Opfernetzwerken bereitstellen, um flexible Fernsteuerungsfunktionen zu erhalten.
Wie andere Anwendungen der Winnti-Gruppe verwendet Skip-2.0 auch den verschlüsselten VMProtected-Launcher, einen benutzerdefinierten Packer, Innerloader-Injector und Hooking-Framework, um die Backdoor zu installieren, und bleibt auf dem Zielsystem aktiv, indem eine DLL-Hijacking-Sicherheitsanfälligkeit in einem Windows-Prozess ausgenutzt wird, der zu einem Systemstartdienst gehört.
Auch wenn MSSQL Verion 11 und 12 schon alte Versionen sind, sind diese laut CENSYS die noch am meisten verwedeten Versionen. Es sollte also bei den betroffenen Unternehmen und Privatpersonen spätestens jetzt über ein Update nachgedacht werden.