LOGOTD2016 2

Viernes 22 de Noviembre de 2019

+57(1) 361 87 14

Los piratas informáticos chinos usan nuevo malware para backdoor servidores Microsoft SQL

Investigadores de ESET descubrieron un nuevo malware creado por el grupo Winnti respaldado por China mientras se usaba para ganar persistencia en los sistemas Microsoft SQL Server (MSSQL).

 

Los atacantes pueden utilizar la nueva herramienta maliciosa denominada skip-2.0 para bloquear servidores MSSQL Server 11 y 12, lo que les permite conectarse a cualquier cuenta en el servidor utilizando una llamada "contraseña mágica" y ocultar su actividad de los registros de seguridad.

 

"Esta puerta trasera le permite al atacante no solo obtener persistencia en el servidor MSSQL de la víctima mediante el uso de una contraseña especial, sino también permanecer sin ser detectado gracias a los múltiples mecanismos de publicación de eventos y registros que se desactivan cuando se usa esa contraseña", dice ESET investigador Mathieu Tartare.

 

El arsenal de Winnti Group está creciendo


El Grupo Winnti es un término general utilizado como el nombre de un colectivo de grupos de piratería respaldados por el estado chino (rastreados como Blackfly y Suckfly por Symantec, Wicked Panda por CrowdStrike, BARIUM por Microsoft, APT41 por FireEye) que comparten las mismas herramientas maliciosas que tienen estado en uso desde alrededor de 2011.

 

Fue entonces cuando Kaspersky encontró el troyano Winnti de los piratas informáticos en una gran cantidad de sistemas de juego comprometidos después de que se entregara a través del servidor de actualización oficial del juego.

 

Después de analizar la nueva puerta trasera, los investigadores de ESET también descubrieron que skip-2.0 comparte algunos rasgos con otro malware del Grupo Winnti, "en particular, con las puertas traseras PortReuse y ShadowPad".

 

 

PortReuse, una puerta trasera modular de Windows, fue utilizada por los hackers Winnti en un ataque dirigido a los servidores de un fabricante asiático de software y hardware móvil de alto perfil .

 

Además, PortReuse es "un implante de red que se inyecta en un proceso que ya está escuchando en un puerto de red y espera a que un paquete mágico entrante active el código malicioso".

 

ShadowPad es otra puerta trasera de Winnti utilizada por el grupo como parte de un ataque a la cadena de suministro de 2017 que impactó a NetSarang, un fabricante coreano de soluciones de conectividad de red, cuando el grupo de piratería infectó con éxito el software de administración del servidor de la compañía con la puerta trasera.

 

Las tres puertas traseras usan el mismo iniciador protegido por VMP y el paquete de malware personalizado del grupo y, para colmo, también comparten muchas otras similitudes con varias otras herramientas asociadas con las operaciones pasadas del grupo de amenazas.

 

Servidor MSSQL 11 y 12 bajo ataque


Una vez que se deja caer en un servidor MSSQL ya comprometido, la puerta trasera skip-2.0 procede a inyectar su código malicioso dentro del proceso sqlserv.exe a través de sqllang.dll, enganchando múltiples funciones utilizadas para registrar una autenticación.

 

Esto permite que el malware omita el mecanismo de autenticación incorporado del servidor y, por lo tanto, permite a sus operadores iniciar sesión aunque la contraseña de la cuenta que ingresaron no coincida.

 

"El enlace de esta función verifica si la contraseña proporcionada por el usuario coincide con la contraseña mágica, en ese caso, no se llamará a la función original y el enlace devolverá 0, permitiendo la conexión a pesar de que no se proporcionó la contraseña correcta", dice ESET .

 

"Probamos skip-2.0 en varias versiones de MSSQL Server y descubrimos que pudimos iniciar sesión con éxito usando la contraseña especial solo con MSSQL Server 11 y 12", agrega Tartare.

 

 

Si bien MSSQL Server 11 y 12 no son las versiones lanzadas más recientemente, se lanzaron en 2012 y 2014, son las más comunes según los datos que los investigadores de ESET obtuvieron de Censys.

 

"La puerta trasera skip-2.0 es una adición interesante al arsenal del Grupo Winnti, que comparte muchas similitudes con el conjunto de herramientas ya conocido del grupo y permite al atacante lograr la persistencia en un servidor MSSQL" , concluye el equipo de investigación de ESET .

 

"Teniendo en cuenta que se requieren privilegios administrativos para instalar los ganchos, skip-2.0 debe usarse en servidores MSSQL ya comprometidos para lograr persistencia y sigilo".

 

Fuente: bleepingcomputer

 
 
seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800