microsoftsqlserver-2.jpg

Grupo chinês implanta backdoor em MS SQL

Paulo Brito
22/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Depois de implantar o backdoor, basta usar uma senha especial para ter acesso ao servidor utilizando qualquer conta

O grupo de hackers chineses Winnti, conhecido por suspeitas de espionar para o governo do seu País, desenvolveu um backdoor para ter acesso permanente a servidores MSSQL Server 11 e 12. A descoberta foi feita por pesquisadores da ESET e publicada hoje. Esse artifício permite que o invasor se conecte furtivamente a qualquer conta MSSQL usando uma senha “mágica”, ao mesmo tempo ocultando sua conexão para que não apareça nos logs. Usando o backdoor, qualquer pessoa pode agir sobre o conteúdo do banco de dados, seja para copiar, modificar ou excluir dados. Até onde se sabe, esse backdoor, o skip-2.0, é o primeiro do MSSQL Server a ser documentado publicamente. Embora as versões 11 e 12 não sejam as mais recentes (foram lançadas em 2012 e 2014, respectivamente), elas ainda são as mais usadas até hoje, de acordo com os dados do portal Censys.

Segundo a ESET, seus pesquisadores vêm acompanhando as atividades do Grupo Winnti desde 2012. O grupo é responsável por ataques pesados e graves na cadeia de suprimentos, contra a indústria de videogames e software. O backdoor descoberto agora possui várias semelhanças com o PortReuse, outra ferramenta utilizada pelo Winnti Group e já documentada pela ESET. O grupo Winnti foi descoberto pela Kaspersky em 2013. Os pesquisadores que fizeram a descoberta supõem que a gangue atua desde 2007, e que na verdade a sigla Winnti serve para designar vários grupos, como o próprio Winnti, mas também outros como Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda e ShadowPad.

Os especialistas da ESET também mencionaram que o malware skip-2.0 possui algumas semelhanças com o PortReuse e o ShadowPad, dois backdoors anteriormente usados pelo Winnti. Nas campanhas anteriores de ataque cibernético, esses backdoors foram usadas para infectar os servidores de um grande fabricante de software e hardware para dispositivos móveis.

Quando a carga maliciosa é descartada no servidor MSSQL comprometido, o backdoor começa a injetar o código no processo sqlserv.exe usando algumas funções usadas para registrar uma autenticação. Dessa maneira, ele ignora o mecanismo de autenticação do servidor MSSQL, permitindo a entrada de agentes externos, independentemente de a senha da conta inserida não estar correta.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest