首页保安Winnti后门可对Microsoft SQL Server进行攻击

Winnti后门可对Microsoft SQL Server进行攻击

Winnti:ESET研究团队分析了其创建者将其命名为skip-2.0的新后门的样本。

正如最近发现的那样,后门被添加到臭名昭著的Winnti网络间谍团队的武器库中。 具体来说,跳过2.0攻击 MSSQL Server 11和12,允许入侵者使用特殊密码登录任何MSSQL帐户,从而自动从日志中隐藏这些链接。 Winnti

这样的后门程序可能使攻击者可以从数据库中复制,修改或删除内容。 例如,可以使用此选项来滥用游戏中的硬币以获得经济利益。

众所周知,在过去,Winnti团队的网络犯罪分子参与了与游戏币数据库相关的恶意活动。

他说:“通过使用特殊密码,后门可以使攻击者在受害者的MSSQL服务器中保持弹性,同时由于使用了该密码时已禁用的多种日志和事件发布机制,攻击者也无法看到它。” ESET研究人员Mathieu Tartare参与了Winnti团队的研究。

我们在许多版本的MSSQL Server上测试了skip-2.0,发现只有使用特殊密码才能与MSSQL Server 11和12成功连接。 尽管MSSQL Server 11和12不是最新版本,但它们是最常见的版本。
ESET已注意到skip-2.0与Winnti团队的军械库中的其他已知工具(例如受VMP保护的启动器,其自定义的打包程序和使用相同的挂接程序的Inner-Loader注入器)之间存在许多相似之处。 “因此,我们得出结论,skip-2.0也属于此工具箱。

.
ESET研究人员一直在监视Winnti的活动。 该团队至少在2012方面很活跃,并负责针对视频游戏和软件行业的备受瞩目的供应链攻击。 ESET最近发布了相关的白皮书,其中包含有关Winnti团队武器库的更多信息,并且首次展示了称为PortReuse的后门。

提供更多技术细节 在文章中 关于该后门的功能的“ Winnti Group的skip-2.0:Microsoft SQL Server后门”,以及与Winnti团队的知名库(尤其是后门PortReuse和ShadowPad)的相似之处。

SecNewshttps://www.secnews.gr
在没有栅栏和墙壁的世界中,谁需要盖茨和窗户

实时新闻