Photo by Rowan Heuvel on https://unsplash.com/photos/q_qOXrLlXcM

ESET安全研究人員發現一隻疑似自中國駭客組織的後門程式,入侵微軟SQL Server資料庫軟體,特別是SQL Server 11及12,使駭客能任意存取、刪除或修改資料。

今年稍早,ESET研究人員發現一隻新的後門程式樣本,稱為Skip-2.0。分析Skip-2.0的程式碼,和該公司一直追蹤的中國駭客組織Winnti Group已知攻擊程式如PortReuse及Shadow Pad後門,使用同樣的模組,包括VMProtected launcher及Inner-Loader injector,因此研究人員相信Skip-2.0也是這個中國駭客組織的攻擊武器。

之前也有別的安全研究顯示Winnti Group可能受僱於中國政府,曾經長期駭入德國企業及遠端桌面軟體業者Teamviewer

最新發現的Skip-2.0讓攻擊者獲得一組萬能密碼,讓他們可以暗中連上任何SQL Server帳號,藉此拷貝、變更、刪除資料。當它進入系統後,會注入惡意程式碼來鈎取(hook)並修改多個與登入、驗證有關的功能,藉此繞過SQL Server內建的驗證機制,使攻擊者不論輸入的密碼和合法用戶密碼是否相符,都能成功連線。

之後攻擊者可以做任何事,可能的攻擊情境包括竄改遊戲幣獲利。Winnti Group過去經常被發現攻擊線上遊戲開發商及其用戶。另一方面,它還可以關閉受駭機器的紀錄、事件發佈(event publishing)和稽核功能,達到隱藏自身蹤跡、長期潛伏的目的。

ESET指出,這是有紀錄以來,第一隻針對SQL Server系統的後門程式。經過測試,研究人員發現SQL Server 11和12可以被這隻程式以萬能密碼登入。這二個版本分別於2012和2014年推出,據市調公司Censys報告,是目前最多人用的版本。

所幸由於安裝hook需要管理權限,研究人員判斷,MS SQL Server必須要先被駭入才能執行Skip-2.0。


Advertisement

更多 iThome相關內容