Chinesische Hacker installieren MS SQL-Server-Backdoor

Publiziert am 22. Oktober 2019 von Günter Born

Sicherheitsforscher sind auf eine gehärtete Schadsoftware mit dem Namen skip-2.0 gestoßen, die auf MS SQL-Servern installiert wird. Chinesische Hacker der Winnti-Gruppe verwenden die Schadsoftware als Backdoor, um auf jede Datenbank zugreifen zu können.

Anzeige

Ich bin bereits vor einigen Stunden auf den Tweet von Catalin Cimpanu gestoßen, der auf diese neue Information hinweist und seinen ZDNet-Artikel verlinkt.

Ein weiterer Beitrag findet sich auf Bleeping Computer. Entdeckt wurde die neue Malware der chinesischen Winnti-Gruppe von ESET-Sicherheitsforschern, die das Ganze in diesem Beitrag beschreiben.

Die Malware funktioniert mit MS SQL Server 11 und 12 (die Version 12 der Software wurde bereits 2014 freigegeben, ist aber breit im Einsatz). Einmal auf einem bereits kompromittierten MS SQL-Server abgelegt, injiziert die skip-2.0-Backdoor den Schadcode über die Datei sqllang.dll in den Prozess sqlserv.exe. Die Backdoor hängt sich in mehrere Funktionen ein, die zum Protokollieren einer Authentifizierung verwendet werden.

ESET schreibt: "Der Hook dieser Funktion überprüft, ob das vom Benutzer angegebene Passwort mit dem magischen Passwort übereinstimmt. Iin diesem Fall wird die ursprüngliche Funktion nicht aufgerufen und der Hook gibt 0 zurück, so dass die Verbindung hergestellt werden kann, obwohl das richtige Passwort nicht angegeben wurde." Damit kann man praktisch auf jede Datenbank, die auf dem infizierten MS SQL-Server gespeichert ist, zugreifen.

Hinter der Backdoor steckt die chinesische Winnti-Gruppe, ein generische Name, den ESET für staatlich unterstützte Hacker (ATP 41) verwendet. ESET schreibt, dass der Skip-2.0-Code Hinweise enthält, die ihn mit anderen Winnti-Hacking-Tools wie PortReuse und ShadowPad Backdoors verknüpften.

PortReuse ist eine IIS-Server-Backdoor, die ESET Anfang des Jahres in den gefährdeten Netzwerken von Hard- und Softwareanbietern in ganz Südasien gefunden hat. ShadowPad ist ein Windows-Backdoor-Trojaner, der zum ersten Mal in Anwendungen des südkoreanischen Softwareherstellers NetSarang integriert wurde, nachdem chinesische Hacker Mitte 2017 deren Infrastruktur infiziert hatten. Weitere Details lassen sich den verlinkten Artikeln entnehmen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.