SQL server è stato preso di mira da un nuovo malware chiamato Maggie, identificato da circa un mese. Sono già state individuate 285 istanze di SQL Server infettate da Maggie, principalmente in Corea del Sud, India, Vietnam, Cina, Russia, Tailandia, Germania e USA, per un totale di 42 paesi coinvolti.
Maggie è un malware basato su backdoor, che sfrutta un “Extended Stored Procedure” DLL. L’estensione .DLL (Dynamic Link Library) indica un tipo di file utilizzato dalle applicazioni del mondo Microsoft, tra cui SQL Server.
Come funziona
Una volta “insediato” in un server, Maggie dà la possibilità all’attaccante di eseguire comandi e programmi, interagire con file e cartelle ed abilitare funzioni di rete, il tutto tramite la semplice esecuzione di query.
Il nome del file è SQLMaggieAntivirus_64.dll dated 2022–04–12 ed è firmato digitalmente dalla DEEPSoft Co. Ltd, un’azienda con sede in Corea del Sud.
Il malware funge inoltre da vera e propria testa di ponte verso l’infrastruttura di cui fa parte il server infetto grazie ad una funzionalità di reindirizzamento TCP verso qualsiasi indirizzo IP raggiungibile dal SQL Server infettato.
Maggie è anche in grado di penetrare altri server SQL Server tramite il metodo bruteforce e di aggiungere un utente backdoor nel caso in cui riesca ad accedere ad account admin.
Indentificato da DCSO CyTec
Il malware è stato identificato da Johann Aydinbas e Axel Wauer di DCSO CyTec, che hanno realizzato un’analisi approfondita del fenomeno. L’installazione di Maggie avviene quando l’attaccante ha la possibilità di installare delle Extended Stored Procedures (ESP) in una cartella accessibile a SQL Server e possiede credenziali valide per caricare il file sul server.
Come capire se il tuo SQL Server è stato infettato
Ci sono vari tipi di controlli che è possibile effettuare per capire se SQL Server è stato infettato, tra cui:
- Controllare tutte le Extended Stored Procedures (ESP) installate e verificare che non ne sia presente nessuna con il nome ‘maggie’.
- Controllare l’application log, verificando gli eventi con ID 8128, che corrispondono all’esecuzione delle ESP.
- Controllare l’application log, verificando gli eventi con ID 33090, che indicano i caricamenti recenti di file ESP DLL nella memoria di SQL Server.
Se con uno di questi controlli si individua un ESP con nome ‘maggie’, si raccomanda di verificare che il malware non abbia già creato un utente backdoor in SQL Server.
DCSO CyTec suggerisce di utilizzare la seguente query per controllare gli account utente aggiunti più di recente:
,sp.type_desc ,sp.create_date ,sp.modify_date ,CASE WHEN sp.is_disabled = 1 THEN ‘Disabled’ ELSE ‘Enabled’ END AS STATUS FROM sys.server_principals sp ORDER BY sp.create_date DESC
Come prevenire e ridurre i rischi
Il primo consiglio per evitare attacchi come quelli portati da Maggie, è utilizzare password forti e implementare un’efficace policy di gestione delle password a livello aziendale.
Un’altra best practice è che porta utilizzata di default dai database SQL Server (1433) non venga mai esposta su internet.
Per essere certi che la vostra infrastruttura SQL Server sia sicura, contattaci per richiedere il nostro nuovo servizio SQL Server Hardening, che va a verificare le corrette impostazioni in termini di sicurezza dell’infrastruttura e fornisce le raccomandazioni per correggere le potenziali vulnerabilità.
Fonti:
SQL Server, the new malware Maggie is infecting hundreds of SQL Servers
di Alice Sella, pubblicato il 4 novembre 2022
Leggi anche: Nuovo aggiornamento della sicurezza per SQL Server
