SQL SERVER 數據庫危險中,新型惡意后門 Maggia 抬頭
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
有一種新型的惡意軟件已經黑入眾多的SQL SERVER 數據庫服務器中,這個后門稱為Maggia ,已經感染了全球數百臺的主機。 Maggia 通過SQL查詢控制的方式進入,其中他主要通過暴力破解管理員的方式登錄到SQL SERVER 服務器中,這個后門是由德國分析師Johann Aydinbas和Axel Wauer在DCSO CyTec發現的。遙測數據顯示,Maggie在韓國、印度、越南、中國、俄羅斯、泰國、德國和美國更為普遍。
Maggie命令 對惡意軟件的分析表明,它偽裝成一個名為"sqlmaggieAntiVirus_64.dll"的擴展存儲過程DLL文件,該文件由DEEPSoft Co. Ltd數字簽名,這家公司似乎位于韓國。擴展存儲過程文件通過使用接受遠程用戶參數并以非結構化數據響應的API擴展SQL查詢的功能。Maggie利用這種技術行為,通過一個包含51個命令的豐富設置來實現遠程后門訪問。 DCSO CyTec的一份報告稱,Maggie支持的各種命令可以查詢系統信息、執行程序、與文件和文件夾交互、啟用遠程桌面服務(TermService)、運行SOCKS5代理以及設置端口轉發。 攻擊者可以為這些命令附加參數,有時Maggie甚至會為支持的參數提供使用說明。
命令列表還包括四個“Exploit”命令,表明攻擊者可能會利用已知的漏洞進行某些操作,比如添加新用戶。通過在定義密碼列表文件和線程計數后進行“SqlScan”和“WinSockScan”命令進行暴力破解管理員密碼。如果成功,服務器將添加一個硬編碼的后門用戶。
該惡意軟件提供簡單的TCP重定向功能,使遠程攻擊者能夠連接到受感染的MS-SQL服務器可以訪問的任何IP地址。 “該實現啟用了端口重用,使得重定向對于授權用戶來說是透明的,而任何其他連接的IP都能夠在沒有任何干擾或對Maggie的認識的情況下使用該服務器”,研究人員補充道。該惡意軟件還具備SOCKS5代理功能,可以通過代理服務器路由所有網絡數據包,使其在需要時更加隱匿。
目前還有一些細節尚未可知,比如Maggie在感染后的使用方式、惡意軟件最初是如何植入服務器的,以及誰是這些攻擊背后的幕后人。 原文:https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/
該文章在 2024/3/28 22:58:08 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
