安全研究人员发现了一种针对 Microsoft SQL 服务器的新恶意软件。这个名为 Maggie 的后门已经感染了全世界数百台机器。
Maggie 通过 SQL 查询进行控制,这些查询指示它运行命令并与文件交互。它的功能扩展到强制管理员登录到其他 Microsoft SQL 服务器,并兼作进入服务器网络环境的桥头。
后门是由 DCSO CyTec 的德国分析师 Johann Aydinbas 和 Axel Wauer 发现的。遥测数据显示,Maggie 在韩国、印度、越南、中国、俄罗斯、泰国、德国和美国更为流行。
玛吉命令
对恶意软件的分析表明,它伪装成一个扩展存储过程 DLL(“ sqlmaggieAntiVirus_64.dll ”),由一家似乎位于韩国的公司 DEEPSoft Co. Ltd 进行数字签名。
扩展存储过程文件通过使用接受远程用户参数并以非结构化数据响应的 API 来扩展 SQL 查询的功能。
Maggie 滥用这种技术行为,通过一组丰富的 51 个命令启用远程后门访问。
DCSO CyTec 的一份报告称,Maggie 支持的各种命令允许查询系统信息、执行程序、与文件和文件夹交互、启用远程桌面服务 (TermService)、运行 SOCKS5 代理以及设置端口转发。
攻击者可以将参数附加到这些命令中,Maggie 甚至在某些情况下提供了支持参数的使用说明。
研究人员表示,命令列表还包括四个“利用”命令,表明攻击者可能依赖已知漏洞进行某些操作,例如添加新用户。
然而,分析人员无法测试这些漏洞,因为它们似乎依赖于 Maggie 未附带的附加 DLL。
在定义密码列表文件和线程计数后,通过命令“SqlScan”和“WinSockScan”发生暴力破解管理员密码。如果成功,则会将硬编码的后门用户添加到服务器。
Maggie 网桥
该恶意软件提供简单的 TCP 重定向功能,允许远程攻击者连接到受感染的 MS-SQL 服务器可以访问的任何 IP 地址。
“启用后,如果源 IP 地址与用户指定的 IP 掩码匹配,Maggie 会将任何传入连接(在 MSSQL 服务器正在侦听的任何端口上)重定向到先前设置的 IP 和端口” – DCSO CyTec
研究人员补充说:“该实施实现了端口重用,使重定向对授权用户透明,而任何其他连接 IP 都能够使用服务器,而无需任何干扰或不知道 Maggie。”
该恶意软件还具有 SOCKS5 代理功能,可通过代理服务器路由所有网络数据包,在需要时使其更加隐蔽。
目前,一些细节仍然未知,例如 Maggie 的感染后使用情况、恶意软件最初是如何植入服务器的,以及这些攻击的幕后黑手。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 数百台Microsoft SQL服务器被新恶意软件作为后门
