关键词
病毒软件
中国有约20台微软SQL Server服务器受影响。
近日,来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件,名为Maggie,已经感染了全球250多个微软SQL服务器。
据悉,该恶意软件以 "扩展存储过程 "的形式出现,这些存储过程从DLL文件调用功能。装入服务器后,攻击者可以使用SQL查询来控制它,并提供各种功能来运行命令,并与文件互动。该后门还能够强行登录到其他MSSQL服务器,以增加一个特殊的硬编码后门。
此外,该后门还具有对其他MSSQL服务器进行暴力破解登录的能力,同时在成功破解管理员登录的情况下,增加一个特殊的硬编码后门用户。基于这一发现,全球有超过250台服务器受到影响,而且明显集中在亚太地区。一旦被攻击者加载到服务器中,它就只用SQL查询来控制,并提供各种功能来运行命令,与文件互动,并作为网络桥头堡进入受感染的服务器环境。
在调查新的威胁时,专家们发现了一个可疑的文件,该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称,sqlmaggieAntiVirus_64.dll,它提供了一个名为maggie的单一导出。
检查DLL文件时,专家们发现它是一个扩展存储过程,它允许SQL查询运行shell命令。
Maggie恶意软件支持超过51条命令来收集系统信息和运行程序,它还能够支持与网络有关的功能,如启用TermService,运行Socks5代理服务器或设置端口转发,使Maggie作为桥头堡进入服务器的网络环境。
Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。
Maggie实现了简单的TCP重定向,允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。
当启用时,如果源IP地址与用户指定的IP掩码相匹配,Maggie会将任何传入的连接(在MSSQL服务器正在监听的任何端口)重定向到先前设置的IP和端口。该实施方案实现了端口重用,使重定向对授权用户来说是透明的,而任何其他连接的IP都能够使用服务器而不受任何干扰,也不会被Maggie知道。
专家们注意到,支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到,用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前,手动上传了剥削DLL。
然后,Maggie会加载用户指定的DLL,寻找一个名为StartPrinter或ProcessCommand(取决于使用的确切命令)的出口,并通过用户提供的参数。
研究人员分享了这种威胁的妥协指标(IoCs),并宣布他们将继续调查,以确定受影响的服务器是如何被利用的。
END
阅读推荐
【安全圈】BNB Chain官方桥遭黑客攻击,共损失或约7.18亿美元
【安全圈】新型安卓恶意软件RatMilad乔装正常应用以监控受害者
【安全圈】卡巴斯基发现通过YouTube频道传播的恶意 Tor 浏览器
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】Maggie恶意软件已感染亚太地区超250台微软SQL服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论