在野外发现的秘密微软SQL Server后门恶意软件

网络安全研究人员声称，他们发现了一个专门为Microsoft SQL Server设计的未经记录的后门，该后门可让远程攻击者秘密控制已经受损的系统。

Skip-2.0，后门恶意软件是一种在内存中运行的攻击后工具，远程攻击者可以使用“魔法密码”连接到运行MSSQL版本11和版本12的服务器上的任何帐户

另外？每次使用“魔法密码”时，恶意软件都会禁用受损机器的日志功能、事件发布和审核机制，从而在受害者的MSSQL服务器上保持未被发现的状态。

利用这些功能，攻击者可以秘密复制、修改或删除存储在数据库中的内容，其影响因与目标服务器集成的应用程序而异。

“例如，这可以用来操纵游戏内货币以获取经济利益。Winnti运营商操纵游戏内货币数据库的行为已经被报道过。”研究人员说。

中国黑客创造了微软SQL Server后门

在网络安全公司ESET发布的最新报告中，研究人员将Skip-2.0后门归因于中国政府赞助的威胁行为人组织Winnti group，因为该恶意软件与其他已知Winnti group工具有多个相似之处—；特别是，重新使用后门和阴影板。

本月早些时候，ESET首次记录了PortReuse backdoor，它是Windows的一种被动网络植入，将自己注入到一个正在运行的进程中，该进程已经监听TCP端口，“重用”了一个已经打开的端口，并等待一个传入的魔法包触发恶意代码。

ShadowPad首次出现在2017年7月针对软件制造商NetSarang的供应链攻击中，它是一个Windows后门，攻击者可以将其部署在受害者网络上，以获得灵活的远程控制功能。

与其他Winnti Group有效载荷一样，Skip-2.0也使用加密的VMProtected launcher、自定义打包器、内部装载器注射器和挂钩框架来安装后门，并通过利用Windows进程中属于系统启动服务的DLL劫持漏洞在目标系统上持续存在。

由于Skip-2.0恶意软件是一种攻击后工具，攻击者首先需要破坏目标MSSQL服务器，以获得实现持久性和隐蔽性所需的管理权限。

研究人员说：“请注意，尽管MSSQL Server 11和12不是最新版本（分别于2012年和2014年发布），但根据Censys的数据，它们是最常用的版本。”。