Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Skip-2.0, la backdoor nascosta in SQL Server che consente di rubare interi database: i dettagli

Sviluppato dal gruppo criminale cinese Winnti, Skip-2.0 è un malware con funzionalità backdoor che consente di attaccare i database Microsoft SQL Server e prenderne il controllo completo per copiare, modificare o cancellare il contenuto di interi archivi di dati. Ecco tutti i dettagli tecnici

22 Ott 2019

Si chiama Skip-2.0 il nuovo malware con funzionalità backdoor specificamente progettato per attaccare i database relazionali Microsoft SQL Server 11 e 12: due versioni non recentissime ma molto diffuse, il che aumenta di molto la pericolosità di questa nuova minaccia.

Sviluppato dal gruppo criminale cinese Winnti e scoperto dai ricercatori di ESET Security, Skip-2.0 consente agli attaccanti di ottenere un accesso persistente al DBMS (DataBase Management System) e prenderne il controllo da remoto.

In questo modo, i criminal hacker riescono ad eseguire qualsiasi azione sul contenuto della base di dati compromessa, come copiare, modificare o cancellare furtivamente il contenuto dell’intero database.

Skip-2.0: tutti i dettagli tecnici del malware

Skip-2.0 è uno strumento malevolo di tipo “post-exploitation” che consente ai criminal hacker di controllare un sistema già compromesso accedendo a qualsiasi account sul server mediante l’utilizzo di una “password magica”.

Il malware, inoltre, è in grado di nascondersi ai sistemi di sicurezza grazie alla capacità di disabilitare tutte le funzioni di logging e il registro eventi della macchina compromessa ogni qualvolta viene utilizzata questa particolare password di accesso.

I ricercatori di ESET hanno inoltre individuato molte altre somiglianze tra Skip-2.0 e altri strumenti dell’arsenale malevolo del gruppo Winnti. Ad esempio, anche il nuovo malware ha il launcher protetto mediante VMprotected e utilizza la libreria Inner-Loader.dll per iniettare nella macchina compromessa il payload malevolo protetto a sua volta mediante l’algoritmo di cifratura a blocchi RC5.

Una volta scaricata, la libreria Inner-Loader avvia una procedura di ricerca del processo sqlserv.exe per iniettarvi il payload del malware. Dopo essere stato iniettato ed eseguito da Inner-Loader, Skip-2.0 verifica innanzitutto di essere effettivamente in esecuzione all’interno del processo sqlserv.exe, quindi procede a compromettere altre funzioni del server.

In particolare, Skip-2.0 “aggancia” il file sqllang.dll e altera tutte le funzioni relative all’autenticazione e alla registrazione degli eventi, in modo da garantirsi la persistenza e l’invisibilità sulla macchina compromessa.

Come riconoscere la minaccia

I ricercatori di ESET Security hanno pubblicato gli indici di compromissione (IoC) di Skip-2.0 per aiutare i responsabili della sicurezza IT delle aziende a identificare l’eventuale presenza del malware e delle sue componenti malevoli sulle macchine SQL Server:

keyboard_arrow_right
keyboard_arrow_left
ComponenteChiave SHA-1Nome identificativo
VMP Loader
  • 18E4FEB988CB95D71D81E1964AA6280E22361B9F
  • 4AF89296A15C1EA9068A279E05CC4A41B967C956
Win64/Packed.VMProtect.HX
Inner-Loader injectorA2571946AB181657EB825CDE07188E8BCD689575Win64/Injector.BS
Skip-2.060B9428D00BE5CE562FF3D888441220290A6DAC7Win32/Agent.SOK

@RIPRODUZIONE RISERVATA

Articolo 1 di 4