[English]Technical Threat Research-Experten der deutschen Sicherheitsfirma DCSO sind kürzlich auf eine neuartige Backdoor gestoßen. Die Maggie getaufte Malware zielt Microsoft SQL-Server ab, und bei einer Analyse wurden weltweit hunderte infizierte Installationen gefunden. Hier ein kurzer Überblick über den Sachstand.
Anzeige
Der Microsoft SQL Server ist ein relationales Datenbankmanagementsystem von Microsoft. Administratoren von Microsoft SQL-Servern müssen derzeit wohl wieder besonders aufmerksam im Hinblick auf Schadsoftware und Cyberangriffe sein.
Ransomware FARGO zielt auf MS SQL-Server
Bereits Ende September 2022 hatte ich bei den Kollegen von Bleeping Computer den Hinweis gesehen, dass Sicherheitsforscher vor einer neuen Angriffswelle auf anfällige Microsoft-SQL-Server Ziel durch die Ransomware FARGO warnten. Laut Bleeping Computer war die neue Angriffswelle katastrophaler als vorhergehende Angriffe im Februar und Juli 2022 – damals wurden nur zufällig MS SQL-Server übernommen, um Bandbreite für Proxy-Dienste zu stehlen. Nun kommt mit der Maggie-Backdoor eine neue Bedrohung hinzu.
Die Maggie-Backdoor
Ich bin die Nacht auf Twitter auf diesen Sachverhalt gestoßen. Die in Berlin ansässige DCSO (Deutsche Cyber-Sicherheitsorganisation GmbH) ist in der Abwehr von organisierter Cyberkriminalität und Wirtschaftsspionage aktiv. Deren Technical Threat Research-Experten sind kürzlich im Rahmen der Überwachung signierter Binärdateien auf eine neuartige Backdoor gestoßen, wie sie in nachfolgendem Tweet mitteilen.
Diese Backdoor zielt auf Microsoft SQL-Server ab. Die Malware kommt in Form einer "Extended Stored Procedure"-DLL, einer speziellen Art von Erweiterung, die von Microsoft SQL-Servern verwendet wird. Sobald diese Prozedur von einem Angreifer in einen Server geladen wurde, wird sie ausschließlich über SQL-Abfragen gesteuert und bietet eine Vielzahl von Funktionen, um Befehle auszuführen, mit Dateien zu interagieren und als Netzwerk-Bridge Head in die Umgebung des infizierten Servers zu fungieren.
Darüber hinaus verfügt die Backdoor über die Fähigkeit, Logins zu anderen MSSQL-Servern zu erzwingen und im Falle einer erfolgreichen Erzwingung von Admin-Logins einen speziellen, fest kodierten Backdoor-Benutzer hinzuzufügen. Aufgrund der in der Malware gefundenen Artefakte bezeichnet DCSO CyTec diese neuartige Bedrohung als "Maggie". Die Details hat das DCSO CyTec-Team auf Medium im Beitrag MSSQL, meet Maggie bereitgestellt. Den Sicherheitsforschern ist aktuell unklar, über welchen spezifischen Exploit die Malware in die MS SQL-Server eingeschleust wird. Im Maggies Befehlssatz wurden zwei Befehle gefunden, um Anmeldungen bei anderen MSSQL-Servern zu erzwingen:
SqlScan
WinSockScan
Die Bedrohungsakteure können dann einen Bruteforce-Scan starten, indem vorher eine Host-, Benutzer- und Passwortlistendatei auf den infizierten Server hochgeladen wird. Weiterhin wird eine optionale Thread-Anzahl für die Angriffe vorgegeben. Maggie erstellt dann Kombinationen von (host, user, pass) und versucht, sich über SQL mit ODBC an anderen Servern anzumelden. Im Falle eines WinSockScan wird dagegen eine Neuimplementierung mit grundlegenden Socket-Funktionen für den Scan verwendet.
Anzeige
Erfolgreiche Anmeldungen werden in eine fest kodierte Protokolldatei geschrieben, die sich an einem von zwei Orten befinden kann:
C:\ProgramData\success.dat
<MAGGIE_LOCATION>\success.dat
Maggie versucht dann festzustellen, ob der geknackte Login des Kontos Admin-Rechte hat. Falls ein Admin-Benutzer erfolgreich geknackt wurde, hat, fährt Maggie mit dem Hinzufügen eines hartcodierten Backdoor-Benutzers fort. Basierend auf dieser Erkenntnis führte DCSO CyTec einen Scan auf öffentlich erreichbaren MSSQL-Servern durch, um festzustellen, wie verbreitet der identifizierte Backdoor-User ist.
Maggie-Backdoor Infektionen
Auf der Grundlage dieser Erkenntnisse haben die Sicherheitsforscher mal nachgeschaut, wie stark die Malware verbreitet ist. Von ca. 600.000 weltweit gescannten Servern wurden 285 Instanzen identifiziert, die mit der Maggies Backdoor infiziert sind. Das Ganze verteilt sich auf 42 Länder, wobei der Schwerpunkt eindeutig auf dem asiatisch-pazifischen Raum liegt. Die in obigem Bild gezeigte Heat-Map zeigt den Schwerpunkt der Infektionen in Indien, Vietnam und Südkorea, wobei aber auch Infektionen in Europa sowie in den USA nachgewiesen wurden.
2015
Wie können überhaupt (MS-)SQL Server im Netz "gefunden" werden?
Dann müssten sie ja mit öffentlichen IPs versehen oder geforwarded versehen sein?
Das geht doch eigntlich nicht automatisch?
Kann mir mir wer das erklären ausser mit:
Einstein:
«Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.»
Ist das Diagramm eigentlich "normiert"?
Also wird berücksichtigt, das es Indien viel mehr öffentlich zugängliche Server geben könnte als in Europs und von daher nicht nur die Infektionsgefahr größer ist, sondern auch die Testbarkeit?
Dummerweise können die Entdecker weder angeben, wie die als Hintertür benutzbare DLL auf die kompromittierten Systeme gelangt, noch wie einem MS-SQL die zum Laden der DLL notwendige Anweisung untergeschoben wird.
JFTR: auf von nicht völlig merkbefreiten Administratoren eingerichteten Windows-Systemen können die seit Windows 7 (eigentlich schon an Windows XP) unter "wirrtuellen" Dienstkennungen (siehe https://technet.microsoft.com/en-us/library/dn617203.aspx und https://msdn.microsoft.com/en-us/library/dd548356.aspx) laufenden Instanzen von MS-SQL keine DLLs nachladen, die nicht in nur von Administratoren beschreibbaren Verzeichnissen installiert sind: siehe "Software Restriction Policies" bzw. AppLocker
"auf von nicht völlig merkbefreiten Administratoren eingerichteten Windows-System"
Das wird das Hauptproblem sein und erklärt mir dann auch warum 600000 MSSQL Server nackig im Netz stehen.
Un
Glaub
Lich
"Software Restriction Policies" machen vermeidbare Arbeit. Es funktioniert ja auch so.
Wie man eine fremde Dll unterschiebt?
Ich würde ein vorhandene Dll umbennen, mein Dll so benennen und dann die normalen Aufrufe weiter leiten.
Beim nächsten Start des Servers gehört er mir…
Tja wie kommt meine Dll darein?
Mit einem Hardlink weil die Verzeichnisrechte selbst falsch stehen?
Aber das ist natürlich das Problem.
Und wenn das gelingt, gehört mir die Kiste eh schon…
Wenn Du in der Lage bist auf einem MSSQL Server eine DLL hinzukopieren, dann hast Du den größten Sprung eh schon mal geschafft, das sollte schon mal nicht so einfach gehen.
Eine bestehende DLL zweckzuentfremden ist im SQL Umfeld eher schwierig, weil es die eher selten gibt und meistens sehr fachspezifisch, da ist es wohl "einfacher" sich selber sysadmin Rechte am SQL Server zu erschleichen und die eigene DLL zu registrieren.
Nur… Wenn ich eine DLL auf den Server physisch draufkriege, und dann noch am SQL die Rechte habe um sie zu registrieren und aufzurufen, was genau "erschleiche" ich mir dann noch? Dann hatte ich eh vorher schon alle Rechte die ich wollte.