Google

Microsoft SQL Server bajo ataque

Written on:October 22, 2019
Comments
Add One

Durante la semana en curso se ha confirmado una investigación realizada por el equipo de ESET, sobre un nuevo blanco de ataque a MSSQL server. El equipo de investigadores de ESET ha hecho pública una interesante documentación acerca de una nueva amenaza (backdoor), esta herramienta llamada skip.2-0 utiliza VMProtected por medio de la cual se encontró embebido este payload , similar a otros casos como PortReuse y/o ShadowPad, estos payload anteriormente se atribuyeron al grupo denominado como Winnti. 

El backdoor permite a los atacantes acceder a equipos MSSQL server 11 y 12 por medio de cuenta, usando un método llamado magic password, inmediatamente que se accede al equipo, los atacantes eliminan cualquier tipo de log que pueda servir como indicador de compromiso.

Esta amenaza viene embebida en servicios que se estén utilizando actualmente y exista comunicación abierta para ellos, se caracteriza por utilizar una llave de cifrado RC5 y logra su persistencia explotando una vulnerabilidad de DLL hijacking para obtener acceso a servicios de inicio de Windows, lo cual complica su detección y contención de esta misma.

Existen múltiples indicadores de compromiso (hash), Mitre ATT&CH y una regla de YARA disponible para su detección y mitigación, para obtener esta información les invitamos acceder al post original de la investigación de ESET (referencia).

Referencia:

https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/

Leave a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: