Güvenlik araştırmacıları, Microsoft SQL sunucularını hedefleyen yeni bir kötü amaçlı yazılım parçası buldular. Maggie olarak adlandırılan arka kapı, tüm dünyaya yüzlerce makineye enfekte oldu.
Maggie, komutları çalıştırmasını ve dosyalarla etkileşime girmesini söyleyen SQL sorguları aracılığıyla kontrol edilir. Yetenekleri, diğer Microsoft SQL sunucularına kaba çalıştırma yönetici girişlerine uzanır ve bir köprü kafası olarak sunucunun ağ ortamına iki katına çıkar.
Arka kapı, Alman analistler Johann Aydinbas ve DCSO Cytec'ten Axel Wauer tarafından keşfedildi. Telemetri verileri Maggie'nin Güney Kore, Hindistan, Vietnam, Çin, Rusya, Tayland, Almanya ve Amerika Birleşik Devletleri'nde daha yaygın olduğunu göstermektedir.
Kötü amaçlı yazılımların analizi, Güney Kore'de bulunan bir şirket olan Deepsoft Co. Ltd tarafından dijital olarak imzalanan genişletilmiş depolanmış bir prosedür DLL (“Sqlmaggieantivirus_64.dll”) olarak gizlediğini ortaya koydu.
Genişletilmiş saklı yordam dosyaları, uzak kullanıcı bağımsız değişkenlerini kabul eden ve yapılandırılmamış verilerle yanıt veren bir API kullanarak SQL sorgularının işlevselliğini genişletir.
Maggie, 51 komuttan oluşan zengin bir setle uzak arka kapı erişimini sağlamak için bu teknik davranışı kötüye kullanıyor.
DCSO Cytec'in bir raporu, Maggie tarafından desteklenen çeşitli komutların sistem bilgilerinin sorgulanmasına, programların yürütülmesine, dosyalar ve klasörlerle etkileşime girmeye, uzak masaüstü hizmetlerini (şartlar hizmeti) etkinleştirme, SOCKS5 proxy çalıştırma ve bağlantı noktası yönlendirme ayarlamasına izin verdiğini söylüyor.
Saldırganlar bu komutlara argümanlar ekleyebilir ve Maggie bazı durumlarda desteklenen argümanlar için kullanım talimatları bile sunar.
Araştırmacılar, komut listesinin aynı zamanda dört “istismar” komutu içerdiğini söylüyor ve saldırganın yeni bir kullanıcı eklemek gibi bazı eylemler için bilinen güvenlik açıklarına güvenebileceğini gösteriyor.
Ancak, analistler istismarları Maggie ile gönderilmeyen ek bir DLL'ye bağlı göründüğü için test edemediler.
Bir şifre listesi ve iş parçacığı sayısı tanımladıktan sonra, brute zorlayıcı yönetici şifreleri “sqlscan” ve “winsockscan” komutları aracılığıyla gerçekleşir. Başarılı olursa, sunucuya sabit kodlu bir arka kapı kullanıcısı eklenir.
Kötü amaçlı yazılım, uzak saldırganların enfekte olmuş MS-SQL sunucusunun ulaşabileceği herhangi bir IP adresine bağlanmasını sağlayan basit TCP yeniden yönlendirme işlevselliği sunar.
“Etkinleştirildiğinde, Maggie gelen herhangi bir bağlantıyı (MSSQL sunucusunun dinlediği herhangi bir bağlantı noktasında) daha önce ayarlanmış bir IP ve bağlantı noktasına yönlendirir, eğer kaynak IP adresi kullanıcı tarafından belirtilen bir IP maskesi ile eşleşirse” - DCSO Cytec
Araştırmacılar, “Uygulama, bağlantı noktasının yeniden kullanılmasını sağlayarak, yönlendirmeyi yetkili kullanıcılara şeffaf hale getirirken, diğer herhangi bir IP IP, sunucuyu herhangi bir müdahale veya Maggie bilgisi olmadan kullanabilir” diye ekledi.
Kötü amaçlı yazılım ayrıca, tüm ağ paketlerini bir proxy sunucusundan yönlendirmek için SOCKS5 proxy işlevselliğine sahiptir ve gerekirse daha da gizli hale getirir.
Şu anda Maggie'nin enfeksiyon sonrası kullanımı, kötü amaçlı yazılımların ilk etapta nasıl ekildiği ve bu saldırıların arkasında olduğu gibi bazı detaylar bilinmemektedir.
Tedarik zinciri saldırısında kötü amaçlı yazılım yaymak için hacklenen canlı destek hizmeti
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
Yeni Android kötü amaçlı yazılım 'Ratmilad' verilerinizi çalabilir, ses kaydedebilir
Lazarus Hacker'ları kötüye kullanma Dell sürücü hatası yeni Fudmodule rootkit kullanarak
Kaynak: Bleeping Computer