ESET 的研究人员近日发现黑客组织 Winnti Group 编写的新恶意软件,该恶意软件用于在微软 SQL Server(MSSQL)系统上潜伏下来。
攻击者可以利用名为 skip-2.0 的新恶意工具,将后门植入到 MSSQL Server 11 和 12 服务器中,从而使他们能够使用所谓的“魔法密码”(magic password)连接到服务器上的任何帐户,并隐藏活动、不被安全日志发现。
ESET 的研究员 Mathieu Tartare 说:“该后门使攻击者不仅可以通过使用一个特殊密码,在受害者的 MSSQL Server 上潜伏下来,还由于使用该密码后禁用了多个日志和事件发布机制,无法被检测出来。”
Winnti Group 的武器库日益庞大
Winnti Group 是个笼统的术语,它是指黑客组织(赛门铁克追踪的 Blackfly 和 Suckfly、CrowdStrike 追踪的 Wicked Panda、微软追踪的 BARIUM 以及 FireEye 追踪的 APT41),这些黑客组织共享自 2011 年前后以来就在使用的同一批恶意工具。
卡巴斯基在大量受感染的游戏系统上发现了黑客的 Winnti 特洛伊木马,这个木马通过一款游戏的官方更新服务器来传播。
ESET 的研究人员分析了这个新的后门后,还发现 skip-2.0 与其他 Winnti Group 恶意软件、“尤其是 PortReuse 后门和 ShadowPad 后门”有着某些共同的特征。
WinReti 黑客曾对一家知名的亚洲移动软件和硬件制造商的服务器发动了攻击,当时在攻击中使用了 PortReuse 这个模块化的 Windows 后门。
此外,PortReuse 还是“一种网络植入程序,它将自己注入到已经在侦听网络端口的进程中,等待隐蔽的入站数据包触发恶意代码。”
ShadowPad 是该组织使用的另一个 Winnti 后门,曾在 2017 年用来发动攻击供应链,那次攻击影响了韩国网络连接解决方案制造商 NetSarang,当时这个黑客组织成功地用后门感染了该公司的服务器管理软件。
这三个后门都使用同样的 VMProtected 启动器和该组织自行编写的恶意软件打包程序,而最重要的是,还跟与该威胁组织过去的攻击行动有关的另外几个工具有另外诸多相似之处。
MSSQL Server 11 和 12 受到攻击
一旦植入到已经中招的 MSSQL 服务器上,skip-2.0 后门会继续通过 sqllang.dll 将其恶意代码注入到 sqlserv.exe 进程中,通过钩子(hook)把用于将身份验证记入日志的多个函数关联起来。
这让恶意软件得以绕过服务器的内置身份验证机制,那样一来,即使攻击者输入的帐户密码不匹配,也允许他们登录进去。
ESET 说:“该函数的钩子(hook)检查用户提供的密码是否与魔法密码匹配,在这种情况下,原始函数不会被调用,钩子会返回0,即使没有提供正确的密码也允许连接。”
Tartare 补充道:“我们针对多个 MSSQL Server 版本测试了 skip-2.0,结果发现只有 MSSQL Server 11 和 12 存在使用特殊密码就能够成功登录这种情况。”
据 ESET 的研究人员从 Censys 获得的数据显示,虽然 MSSQL Server 11 和 12 不是最近发布的版本(分别在 2012 和 2014 年发布),但它们却是最常见的版本。
ESET 的研究小组总结道:“skip-2.0 后门是 Winnti Group 武器库中值得关注的新增武器,它与该组织已知臭名昭著的工具集有诸多相似之处,让攻击者得以在 MSSQL Server 上永久潜伏下来。”
“考虑到安装钩子需要管理员特权,必须在已经中招的 MSSQL Server 上使用 skip-2.0,才能永久潜伏下来,并保持不被察觉。”