Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Octubre 22, 2019, 03:10:24 PM

Título: Backdoor Skip-2.0
Publicado por: Dragora en Octubre 22, 2019, 03:10:24 PM
(https://i.imgur.com/8s74YCk.png)

Los investigadores de ciberseguridad afirman haber descubierto una puerta trasera previamente indocumentada diseñada específicamente para servidores Microsoft SQL que podría permitir a un atacante remoto controlar sigilosamente un sistema ya comprometido.

Apodado Skip-2.0 , el malware de puerta trasera es una herramienta posterior a la explotación que se ejecuta en la memoria y permite a los atacantes remotos conectarse a cualquier cuenta en el servidor que ejecuta MSSQL versión 11 y versión 12 mediante el uso de una "contraseña mágica".

¿Y lo que es más? El malware logra permanecer sin ser detectado en el servidor MSSQL de la víctima al deshabilitar las funciones de registro de la máquina comprometida, la publicación de eventos y los mecanismos de auditoría cada vez que se utiliza la "contraseña mágica".

Con estas capacidades, un atacante puede copiar, modificar o eliminar sigilosamente el contenido almacenado en una base de datos, cuyo impacto varía de una aplicación a otra integrada con servidores específicos.

"Esto podría usarse, por ejemplo, para manipular monedas en el juego para obtener ganancias financieras. Ya se han informado manipulaciones de la base de datos de monedas en el juego por parte de los operadores Winnti". investigadores dijo.

Los hackers chinos crearon Microsoft SQL Server Backdoor

(https://i.imgur.com/SJTMop8.png)

En su último informe publicado por la firma de seguridad cibernética ESET, los investigadores atribuyeron la puerta trasera Skip-2.0 a un grupo de actores de amenazas patrocinado por el estado chino llamado Winnti Group , ya que el malware contiene múltiples similitudes con otras herramientas conocidas de Winnti Group, en particular, PortReuse backdoor y ShadowPad .

Documentado por primera vez por ESET a principios de este mes, PortReuse backdoor es un implante de red pasivo para Windows que se inyecta en un proceso en ejecución que ya está escuchando en un puerto TCP, "reutiliza" un puerto ya abierto y espera a que un paquete mágico entrante active el malware código.

Visto por primera vez durante el ataque de la cadena de suministro contra el fabricante de software NetSarang en julio de 2017, ShadowPad es una puerta trasera de Windows que los atacantes implementan en las redes de las víctimas para obtener capacidades flexibles de control remoto.
Al igual que otras cargas útiles de Winnti Group, Skip-2.0 también usa un iniciador cifrado protegido por VMP, un empaquetador personalizado, un inyector de cargador interno y un marco de enganche para instalar la puerta trasera, y persiste en el sistema objetivo al explotar una vulnerabilidad de secuestro de DLL en un proceso de Windows que pertenece a un servicio de inicio del sistema.

Dado que el malware Skip-2.0 es una herramienta posterior a la explotación, un atacante primero debe comprometer los servidores MSSQL específicos para tener los privilegios administrativos necesarios para lograr persistencia y sigilo.

"Tenga en cuenta que a pesar de que MSSQL Server 11 y 12 no son las versiones más recientes (lanzadas en 2012 y 2014, respectivamente), son las más utilizadas según los datos de Censys", dijeron los investigadores.


Vía: https://thehackernews.com