-
October 23rd, 2019, 17:47
#1
شناسایی یک بدافزار در سرورهای mssql
پژوهشگران ESET بدافزار جدیدی را کشف کردهاند که پایگاه داده (Microsoft SQL Server (MSSQL را دستکاری و یک مکانیزم بکدور (Back Door) ایجاد میکند که به مهاجم اجازه میدهد با استفاده از یک «گذرواژه جادویی» به هر حساب دلخواه متصل شود.
بکدور کشفشده نشست کاربران را در هربار استفاده از «گذرواژه جادویی» در لاگهای اتصال به پایگاه داده پنهان میکند که این کار به مهاجمان کمک میکند تا در صورت شک مدیران سیستم نسبت به وجود فعالیتهای مخرب، شناسایی نشوند.
بر اساس گزارشی که توسط ESET منتشر شدهاست، مهاجمان پس از نفوذ به شبکههای رایانهای از طریق روشهای مختلف، بکدور را بهعنوان ابزاری پس از آلودهسازی منتقل میکنند. بکدور با عنوان skip-۲,۰ نامگذاری شدهاست كه عملگرهای فرایند کنترلکننده احرازهویت MSSQL را دستکاری میکند. هدف اصلی بدافزار ایجاد یک «گذرواژه جادویی» است. اگر «گذرواژه جادویی» در داخل هر نشست احرازهویت کاربر وارد شود بهطور خودکار به آن کاربر دسترسی دادهمیشود، در حالی که از ورود عادی به سیستم و اجرای عملکردهای بررسی ورود جلوگیری میشود. این فرایند بهطور موثری یک نشست مخفی در سرور ایجاد میکند.
به گفته ESET، بدافزار skip-۲,۰ فقط در نسخههای ۱۲ و ۱۱ سرورهای MSSQL کار میکند. با اینکه MSSQL Server ۱۲ جدیدترین نسخه نیست و در سال ۲۰۱۴ منتشر شده، اما براساس اطلاعات منتشر شده توسط Censys، رایجترین نسخه مورد استفادهاست.
این بدافزار به گروه Winnti ارتباط داده شدهاست و شواهدی مبنی بر اشتراک کدهای آن با بدافزارهای PortReuse و ShadowPad وجود دارد. بدافزار PortReuse یک بکدور برای سرورهای IIS و ShadowPad یک تروجان ویندوزی است.
بکدور skip-۲,۰ میتواند به منظور کپی، ویرایش یا حذف محتوای پایگاه داده مورد استفاده قرار گیرد.
اللهم عجل لوليك الفرج|سرور اختصاصی ایران | سرور مجازی ایران | هاست ایران و خارج | از 1390 تا کنون | نماد اعتماد + رضایت | 02191014628
-
-
October 23rd, 2019 17:47
# ADS