Winnti Group Skip‑2.0: backdoor para Microsoft SQL Server

Apodado Skip-2.0, este malware es una puerta trasera que permite a los atacantes remotos conectarse a cualquier cuenta en el servidor que ejecute MSSQL versión 11 y versión 12 mediante el uso de una "contraseña mágica".

El malware logra permanecer sin ser detectado en el servidor MSSQL de la víctima al deshabilitar las funciones de registro de la máquina comprometida, la publicación de eventos y los mecanismos de auditoría cada vez que se utiliza la "contraseña mágica".

Con estas capacidades, un atacante puede copiar, modificar o eliminar sigilosamente el contenido almacenado en una base de datos, cuyo impacto varía de una aplicación a otra integrada con servidores específicos.

"Esto podría usarse, por ejemplo, para manipular monedas en el juego para obtener ganancias financieras. Ya se han informado manipulaciones de la base de datos de monedas en el juego por parte de los operadores Winnti", dijeron los investigadores.

En su último informe publicado por ESET, los investigadores atribuyeron la puerta trasera Skip-2.0 a un grupo de actores dañinos patrocinado por el estado chino llamado Winnti Group, ya que el malware contiene múltiples similitudes con otras herramientas conocidas de Winnti Group [PDF], en particular, PortReuse backdoor y ShadowPad .

Documentado por primera vez por ESET a principios de este mes, PortReuse backdoor es un implante de red pasivo para Windows que se inyecta en un proceso en ejecución que ya está escuchando en un puerto TCP, "reutiliza" un puerto ya abierto y espera a que un paquete mágico entrante active el malware código.

Visto por primera vez durante el ataque de la cadena de suministro contra el fabricante de software NetSarang en julio de 2017, ShadowPad es una puerta trasera de Windows que los atacantes implementan en las redes de las víctimas para obtener capacidades flexibles de control remoto.

Al igual que otras cargas útiles del Grupo Winnti, Skip-2.0 también usa un iniciador cifrado VMProtected, un empaquetador personalizado, un inyector de cargador interno y un marco de enganche para instalar la puerta trasera, y persiste en el sistema objetivo al explotar una vulnerabilidad de secuestro de DLL en un proceso de Windows que pertenece a un servicio de inicio del sistema.

Dado que el malware Skip-2.0 es una herramienta posterior a la explotación, un atacante primero debe comprometer los servidores MSSQL específicos para tener los privilegios administrativos necesarios para lograr persistencia y sigilo.

"Tenga en cuenta que a pesar de que MSSQL Server 11 y 12 no son las versiones más recientes (lanzadas en 2012 y 2014, respectivamente), son las más utilizadas según los datos de Censys", dijeron los investigadores.

Fuente: THN

Suscríbete a nuestro Boletín