SKIP 2.0, nuova backdoor su Microsoft SQL Server

Datamaze
19.06.20 02:30 PM Comment(s)

Il Gruppo Hacker Winnti, famoso per numerosi attacchi ad alto profilo nell'industria software, è responsabile della creazione di un ennesimo malware chiamato Skip 2.0.


Questo exploit interessa in particolar modo Microsoft SQL Server Versioni 11 e 12, ovvero 2012 e 2014. Non le più recenti ma ancora tra le più utilizzate.


Questa backdoor installata nella memoria della macchina infetta permetterebbe di creare una “Magic Password” in grado di accedere ad un qualsiasi database MSSQL account e di eseguire qualsiasi operazione senza lasciare traccia nei logs, rendendo così difficile rendersi conto se si è vittima di questa tipologia di attacco.


Come funziona

In breve,  l’exploit funziona da custom launcher per il processo “sqlserv.exe” questo vuol dire che al posto del solito eseguibile iniziale per far partire MSSQL vi sarà una copia quasi identica contenente al suo interno il malware.


La macchina farà automaticamente partire questo processo (sqlserv.exe) e comincerà caricare in memoria tutti i dati di cui ha bisogno tra cui: Skip 2.0. In questo modo il malware sarà presente all’interno della regione di memoria utilizzata dal processo di MSSQL e da lì potrà contattare direttamente la libreria SQL (sqllang.dll) ed eseguire diverse funzioni con l’identità del server stesso e senza alcuna restrizione.


Come capire se si è sotto attacco

Per riconoscere ed analizzare se si è stati vittima di questo attacco o meno , i ricercatori di ESET Security hanno rilasciato gli indici di compromissione (IoC) in modo da rendere più semplice l’identificazione di componenti malevoli.


Componente

SHA-1

Nome identificativo

VMP Loader

18E4FEB988CB95D71D81E1964AA6280E22361B9F
4AF89296A15C1EA9068A279E05CC4A41B967C956

Win64/Packed.VMProtect.HX

Inner-Loader injector

A2571946AB181657EB825CDE07188E8BCD689575

Win64/Injector.BS

Skip-2.0

60B9428D00BE5CE562FF3D888441220290A6DAC7

Win32/Agent.SOK


In conclusione c’è da dire che Skip 2.0 è un malware utilizzato nella fase di post exploitation quindi solo dopo che la macchina ègià stata compromessa ed i malintenzionati hanno già avuto accesso a privilegi riservati ad account amministratori.


SQL Server Skip 2.0



Occorre infine ribadire l’importanza di mantenere sempre aggiornati software e sistemi operativi. Inoltre è ancora più importante essere sempre aggiornati sulle nuove minacce e scoperte sul campo informatico, in quanto si tratta di un mondo in costante evoluzione.


di Matteo Lucato, pubblicato il 25 ottobre 2019