Τρίτη, 26 Μαΐου, 22:16
Αρχική security Winnti backdoor για επιθέσεις σε server Microsoft SQL

Winnti backdoor για επιθέσεις σε server Microsoft SQL

Winnti: Η ομάδα ερευνητών της ESET ανέλυσε ένα δείγμα από ένα νέο backdoor, που οι δημιουργοί του έχουν ονομάσει skip-2.0.

Όπως ανακαλύφθηκε πρόσφατα, το backdoor προστέθηκε στο οπλοστάσιο της περιβόητης ομάδας κυβερνοκατασκοπείας Winnti. Συγκεκριμένα, το skip-2.0 επιτίθεται στο MSSQL Server 11 και 12, επιτρέποντας στους εισβολείς να συνδεθούν σε οποιονδήποτε λογαριασμό MSSQL με έναν ειδικό κωδικό πρόσβασης, κρύβοντας αυτόματα αυτές τις συνδέσεις από τα αρχεία καταγραφής. Winnti

Ένα τέτοιο backdoor θα μπορούσε να επιτρέψει σε έναν εισβολέα να αντιγράψει, να τροποποιήσει ή να διαγράψει περιεχόμενο από τις βάσεις δεδομένων. Αυτή η δυνατότητα θα μπορούσε να χρησιμοποιηθεί, για παράδειγμα, για την κατάχρηση νομισμάτων σε παιχνίδια με στόχο το οικονομικό όφελος.

Είναι γνωστό ότι στο παρελθόν, οι κυβερνοεγκληματίες της ομάδας Winnti είχαν εμπλακεί σε κακόβουλες ενέργειες σχετικές με βάσεις δεδομένων νομισμάτων σε παιχνίδια.

«Το συγκεκριμένο backdoor επιτρέπει στον εισβολέα να παραμείνει ανθεκτικό μέσα στο MSSQL server του θύματος μέσω της χρήσης ενός ειδικού κωδικού πρόσβασης, και, παράλληλα, αόρατο, χάρη στους μηχανισμούς multiple log και event publishing, που απενεργοποιούνται όταν χρησιμοποιείται αυτός ο κωδικός πρόσβασης», εξηγεί ο ερευνητής της ESET Mathieu Tartare, που συμμετείχε στις έρευνες για την ομάδα Winnti.

Δοκιμάσαμε το skip-2.0 σε πολλές εκδόσεις του MSSQL Server και διαπιστώσαμε ότι μπορούσαμε να συνδεθούμε με επιτυχία χρησιμοποιώντας τον ειδικό κωδικό πρόσβασης μόνο με τους MSSQL Server 11 και 12. Παρόλο που οι MSSQL Server 11 και 12 δεν είναι οι πιο πρόσφατες εκδόσεις, είναι οι πιο συνηθισμένες», προσθέτει ο Tartare.
Η ESET έχει παρατηρήσει πολλές ομοιότητες μεταξύ του skip-2.0 και άλλων γνωστών εργαλείων από το οπλοστάσιο της ομάδας Winnti, όπως ένα launcher VMPprotected, το custom packer του και ένα Inner-Loader injector που χρησιμοποιούν την ίδια διαδικασία hooking. «Λόγω αυτού συμπεραίνουμε ότι το skip-2.0 ανήκει επίσης σε αυτή την εργαλειοθήκη.

.
Οι ερευνητές της ESET παρακολουθούσαν για αρκετό καιρό τις δραστηριότητες της Winnti. Η ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και της καταλογίζονται οι υψηλού προφίλ επιθέσεις «supply-chain» κατά της βιομηχανίας βιντεοπαιχνιδιών και λογισμικού. Η ESET δημοσίευσε πρόσφατα σχετικό white paper με περισσότερες πληροφορίες για το οπλοστάσιο της ομάδας Winnti και παρουσιάζει για πρώτη φορά ένα backdoor που ονομάζεται PortReuse.

Περισσότερες τεχνικές λεπτομέρειες βρίσκονται στο άρθρο «Winnti Group’s skip-2.0: a Microsoft SQL Server backdoor» σχετικά με τις λειτουργίες αυτού του backdoor, καθώς και τις ομοιότητες με το γνωστό οπλοστάσιο της ομάδας Winnti – ειδικότερα με τα backdoor PortReuse και ShadowPad.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Ο Linus Torvalds αναβάθμισε το PC του με επεξεργαστή της AMD

Κάποτε, για αρκετούς χρήστες, οι επεξεργαστές της AMD ήταν κατώτεροι σε σχέση με αυτούς της Intel. Με...

AirPods που θα παρακολουθούν την υγεία: Θα τα δούμε σύντομα;

H Apple έχει δείξει μέχρι στιγμής τις ικανότητές της και στον τομέα της υγείας, καθώς δεν είναι λίγα τα χαρακτηριστικά διάγνωσης και...

Android bug επιτρέπει σε malware να μεταμφιέζονται σε πραγματικά apps

Οι ερευνητές ασφαλείας έχουν βρει μια μεγάλη ευπάθεια σε σχεδόν κάθε έκδοση του Android, η οποία επιτρέπει σε malware να μιμούνται νόμιμες...

Επιθέσεις RangeAmp προκαλούν προβλήματα σε sites και CDN servers!

Ομάδα Κινέζων ακαδημαϊκών κατάφερε να βρει νέο τρόπο παραβίασης πακέτων HTTP, που αυξάνει το web traffic και «ρίχνει» websites και CDNs (Content Delivery...

Ρώσοι κυβερνο-κατάσκοποι χρησιμοποιούν το Gmail για να ελέγξουν το ενημερωμένο ComRAT malware

Οι ερευνητές ασφαλείας της ESET ανακάλυψαν μια νέα έκδοση του ComRAT backdoor που ελέγχεται χρησιμοποιώντας το web interface του Gmail και χρησιμοποιήθηκε...

Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Η ομάδα hacking Blue Mockingbird, αναπτύσσει payload εξόρυξης κρυπτονομισμάτων Monero, σε υπολογιστές Internet-facing Windows πολλών οργανισμών, όπως...

Hacker πουλά βάσεις δεδομένων online καταστημάτων

Περισσότερες από 24 SQL βάσεις δεδομένων online καταστημάτων έχουν κλαπεί και έχουν τεθεί προς πώληση σε ένα...

Έρευνα: Ο COVID-19 δεν μεταδίδεται μετά από 11 ημέρες

Σύμφωνα με μία νέα έρευνα, ο COVID-19 δεν μπορεί να μεταδοθεί σε άλλο ασθενή μετά από 11...

AIS: Διαρροή βάσης δεδομένων με Internet records χρηστών

Η έκθεση μιας βάσης δεδομένων της AIS στο διαδίκτυο επέτρεψε τη διαρροή Internet records δισεκατομμυρίων Ταϊλανδέζων χρηστών.

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...