中国有约20台微软SQL Server服务器受影响。
近日,来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件,名为Maggie,已经感染了全球250多个微软SQL服务器。
据悉,该恶意软件以 “扩展存储过程 “的形式出现,这些存储过程从DLL文件调用功能。装入服务器后,攻击者可以使用SQL查询来控制它,并提供各种功能来运行命令,并与文件互动。该后门还能够强行登录到其他MSSQL服务器,以增加一个特殊的硬编码后门。
此外,该后门还具有对其他MSSQL服务器进行暴力破解登录的能力,同时在成功破解管理员登录的情况下,增加一个特殊的硬编码后门用户。基于这一发现,全球有超过250台服务器受到影响,而且明显集中在亚太地区。一旦被攻击者加载到服务器中,它就只用SQL查询来控制,并提供各种功能来运行命令,与文件互动,并作为网络桥头堡进入受感染的服务器环境。
在调查新的威胁时,专家们发现了一个可疑的文件,该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称,sqlmaggieAntiVirus_64.dll,它提供了一个名为maggie的单一导出。
检查DLL文件时,专家们发现它是一个扩展存储过程,它允许SQL查询运行shell命令。
Maggie恶意软件支持超过51条命令来收集系统信息和运行程序,它还能够支持与网络有关的功能,如启用TermService,运行Socks5代理服务器或设置端口转发,使Maggie作为桥头堡进入服务器的网络环境。
Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。
Maggie实现了简单的TCP重定向,允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。
当启用时,如果源IP地址与用户指定的IP掩码相匹配,Maggie会将任何传入的连接(在MSSQL服务器正在监听的任何端口)重定向到先前设置的IP和端口。该实施方案实现了端口重用,使重定向对授权用户来说是透明的,而任何其他连接的IP都能够使用服务器而不受任何干扰,也不会被Maggie知道。
专家们注意到,支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到,用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前,手动上传了剥削DLL。
然后,Maggie会加载用户指定的DLL,寻找一个名为StartPrinter或ProcessCommand(取决于使用的确切命令)的出口,并通过用户提供的参数。
研究人员分享了这种威胁的妥协指标(IoCs),并宣布他们将继续调查,以确定受影响的服务器是如何被利用的。
1.本站上传的源码,均为平台购买,作者提供,网友推荐,互联网平台整理而来,请下载后24小时内删除。如有需要,请购买正版.
2.请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
3.站内资源若侵犯了您的合法权益,请指出本站立即改正。
4.上述内容仅供学习参考及技术交流之用,未经相关的知识产权权利人同意,用户不得进行商业使用。
5.保姆式服务,百分百售后!
