Backdoor Skip-2.0

  • 0 Respuestas
  • 786 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1417
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Backdoor Skip-2.0

  • en: Octubre 22, 2019, 03:10:24 pm


Los investigadores de ciberseguridad afirman haber descubierto una puerta trasera previamente indocumentada diseñada específicamente para servidores Microsoft SQL que podría permitir a un atacante remoto controlar sigilosamente un sistema ya comprometido.

Apodado Skip-2.0 , el malware de puerta trasera es una herramienta posterior a la explotación que se ejecuta en la memoria y permite a los atacantes remotos conectarse a cualquier cuenta en el servidor que ejecuta MSSQL versión 11 y versión 12 mediante el uso de una "contraseña mágica".

¿Y lo que es más? El malware logra permanecer sin ser detectado en el servidor MSSQL de la víctima al deshabilitar las funciones de registro de la máquina comprometida, la publicación de eventos y los mecanismos de auditoría cada vez que se utiliza la "contraseña mágica".

Con estas capacidades, un atacante puede copiar, modificar o eliminar sigilosamente el contenido almacenado en una base de datos, cuyo impacto varía de una aplicación a otra integrada con servidores específicos.

"Esto podría usarse, por ejemplo, para manipular monedas en el juego para obtener ganancias financieras. Ya se han informado manipulaciones de la base de datos de monedas en el juego por parte de los operadores Winnti". investigadores dijo.

Los hackers chinos crearon Microsoft SQL Server Backdoor



En su último informe publicado por la firma de seguridad cibernética ESET, los investigadores atribuyeron la puerta trasera Skip-2.0 a un grupo de actores de amenazas patrocinado por el estado chino llamado Winnti Group , ya que el malware contiene múltiples similitudes con otras herramientas conocidas de Winnti Group, en particular, PortReuse backdoor y ShadowPad .

Documentado por primera vez por ESET a principios de este mes, PortReuse backdoor es un implante de red pasivo para Windows que se inyecta en un proceso en ejecución que ya está escuchando en un puerto TCP, "reutiliza" un puerto ya abierto y espera a que un paquete mágico entrante active el malware código.

Visto por primera vez durante el ataque de la cadena de suministro contra el fabricante de software NetSarang en julio de 2017, ShadowPad es una puerta trasera de Windows que los atacantes implementan en las redes de las víctimas para obtener capacidades flexibles de control remoto.
Al igual que otras cargas útiles de Winnti Group, Skip-2.0 también usa un iniciador cifrado protegido por VMP, un empaquetador personalizado, un inyector de cargador interno y un marco de enganche para instalar la puerta trasera, y persiste en el sistema objetivo al explotar una vulnerabilidad de secuestro de DLL en un proceso de Windows que pertenece a un servicio de inicio del sistema.

Dado que el malware Skip-2.0 es una herramienta posterior a la explotación, un atacante primero debe comprometer los servidores MSSQL específicos para tener los privilegios administrativos necesarios para lograr persistencia y sigilo.

"Tenga en cuenta que a pesar de que MSSQL Server 11 y 12 no son las versiones más recientes (lanzadas en 2012 y 2014, respectivamente), son las más utilizadas según los datos de Censys", dijeron los investigadores.


Vía: https://thehackernews.com
« Última modificación: Octubre 22, 2019, 04:52:16 pm por Dragora »

 

Facebook Hackeado! Alguien puso un Backdoor Script en un servidor de Facebook.

Iniciado por HATI

Respuestas: 1
Vistas: 2107
Último mensaje Junio 04, 2016, 08:19:28 pm
por Lovecraft
Piratas informáticos iraníes han estado colocando Backdoor en todo el mundo

Iniciado por Dragora

Respuestas: 1
Vistas: 377
Último mensaje Febrero 20, 2020, 10:09:34 am
por Bartz
Backdoor en WhatsApp permite interceptar comunicaciones cifradas

Iniciado por HATI

Respuestas: 0
Vistas: 2285
Último mensaje Enero 13, 2017, 03:12:09 pm
por HATI
EvilGnome: un nuevo Backdoor en usuarios de escritorio de Linux

Iniciado por Dragora

Respuestas: 0
Vistas: 712
Último mensaje Julio 17, 2019, 02:58:12 pm
por Dragora
Google detecto un Backdoor preinstalado en dispositivos Android

Iniciado por Dragora

Respuestas: 0
Vistas: 1078
Último mensaje Junio 07, 2019, 07:15:43 pm
por Dragora