Cientistas descobrem Backdoor projetado para Microsoft SQL Server - Programadores Brasil
Segurança Digital

Cientistas descobrem Backdoor projetado para Microsoft SQL Server

2 Minutos de Leitura

Pesquisadores de segurança virtual afirmam ter descoberto um backdoor (fuga da criptografia), até então não descoberto, projetado especificamente para servidores Microsoft SQL que poderia permitir que um invasor remoto controle furtivamente um sistema já comprometido.

Apelidado de Skip-2.0, o malware (software nocivo) é uma ferramenta de pós-exploração executada na memória e permite que atacantes remotos se conectem a qualquer conta no servidor executando o MSSQL versão 11 e versão 12 usando uma “senha mágica”.

Ele consegue ainda permanecer sem ser detectado no MSSQL Server da vítima, desativando as funções de registro, publicação de eventos e mecanismos de auditoria da máquina comprometida toda vez que a “senha mágica” é usada.

[+] Veja quais foram as repercussões nas redes sociais após iFood ser hackeado na última terça, 2

Com esses recursos, um invasor pode copiar, modificar ou excluir furtivamente o conteúdo armazenado em um banco de dados, cujo impacto varia de aplicativo para aplicativo integrado aos servidores de destino.

Em seu último relatório publicado pela empresa de segurança cibernética ESET, os pesquisadores atribuíram o backdoor Skip-2.0 a um grupo de agentes de ameaças patrocinado pelo Estado chinês chamado Winnti Group , pois o malware contém várias semelhanças com outras ferramentas conhecidas do Winnti Group, o PortReuse backdoor e o ShadowPad.

Primeiro documentado pela ESET no início deste mês, o PortReuse backdoor é um implante de rede passivo para Windows que se injeta em um processo em execução que já está escutando uma porta TCP, “reutilizando” uma porta já aberta e aguarda um pacote mágico de entrada para acionar o malware. código.

[+] Veja quais foram as repercussões nas redes sociais após iFood ser hackeado na última terça, 2

Visto pela primeira vez durante o ataque da cadeia de suprimentos contra o fabricante de software NetSarang, em 2017, o ShadowPad é um backdoor do Windows que os invasores implantam nas redes de vítimas para obter recursos flexíveis de controle remoto.

Como outras cargas úteis do Winnti Group, o Skip-2.0 também usa o iniciador criptografado VMProtected, empacotador personalizado, injetor de carregador interno e estrutura de conexão para instalar o backdoor e persiste no sistema de destino, explorando uma vulnerabilidade de seqüestro de DLL em um processo do Windows que pertence a um serviço de inicialização do sistema.

Como o malware Skip-2.0 é uma ferramenta de pós-exploração, o invasor precisa primeiro comprometer os servidores MSSQL direcionados para ter privilégios administrativos necessários para obter persistência e furtividade.

-Embora o MSSQL Server 11 e 12 não sejam as versões mais recentes (lançadas em 2012 e 2014, respectivamente), elas são as mais usadas de acordo com os dados da Censys- disseram os pesquisadores.

[+] iFood hackeado: entenda o que ocorreu na última terça e veja o pronunciamento da empresa


Siga o Programadores Brasil no Google Notícias e Receba Notícias de Tecnologia -> CLIQUE AQUI e Confira.


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *