Il Gruppo Hacker Winnti, famoso per numerosi attacchi ad alto profilo nell'industria software, è responsabile della creazione di un ennesimo malware chiamato Skip 2.0.
Questo exploit interessa in particolar modo Microsoft SQL Server Versioni 11 e 12, ovvero 2012 e 2014. Non le più recenti ma ancora tra le più utilizzate.
Questa backdoor installata nella memoria della macchina infetta permetterebbe di creare una “Magic Password” in grado di accedere ad un qualsiasi database MSSQL account e di eseguire qualsiasi operazione senza lasciare traccia nei logs, rendendo così difficile rendersi conto se si è vittima di questa tipologia di attacco.
Come funziona
In breve, l’exploit funziona da custom launcher per il processo “sqlserv.exe” questo vuol dire che al posto del solito eseguibile iniziale per far partire MSSQL vi sarà una copia quasi identica contenente al suo interno il malware.
La macchina farà automaticamente partire questo processo (sqlserv.exe) e comincerà caricare in memoria tutti i dati di cui ha bisogno tra cui: Skip 2.0. In questo modo il malware sarà presente all’interno della regione di memoria utilizzata dal processo di MSSQL e da lì potrà contattare direttamente la libreria SQL (sqllang.dll) ed eseguire diverse funzioni con l’identità del server stesso e senza alcuna restrizione.
Come capire se si è sotto attacco
Per riconoscere ed analizzare se si è stati vittima di questo attacco o meno , i ricercatori di ESET Security hanno rilasciato gli indici di compromissione (IoC) in modo da rendere più semplice l’identificazione di componenti malevoli.
Componente | SHA-1 | Nome identificativo |
VMP Loader | 18E4FEB988CB95D71D81E1964AA6280E22361B9F | Win64/Packed.VMProtect.HX |
Inner-Loader injector | A2571946AB181657EB825CDE07188E8BCD689575 | Win64/Injector.BS |
Skip-2.0 | 60B9428D00BE5CE562FF3D888441220290A6DAC7 | Win32/Agent.SOK |
In conclusione c’è da dire che Skip 2.0 è un malware utilizzato nella fase di post exploitation quindi solo dopo che la macchina ègià stata compromessa ed i malintenzionati hanno già avuto accesso a privilegi riservati ad account amministratori.
Occorre infine ribadire l’importanza di mantenere sempre aggiornati software e sistemi operativi. Inoltre è ancora più importante essere sempre aggiornati sulle nuove minacce e scoperte sul campo informatico, in quanto si tratta di un mondo in costante evoluzione.
di Matteo Lucato, pubblicato il 25 ottobre 2019
Leggi anche: MbrMiner: nuovo malware per SQL Server