在野外发现隐匿在微软SQL Server中的首个恶意软件后门

LYA 看雪学院 2021-03-12

图片来源：ZDNet

SQL Server 是Microsoft 公司推出的关系型数据库管理系统。

以其具有良好的伸缩性和软件集成度高等优点，在多个平台上被广泛使用。

同时SQL Server作为全面的数据库平台，利用集成的BI工具提供企业级的数据管理，使存储更加安全可靠。

然而近日，研究人员在Microsoft SQL Server中发现了一个从未记录的新后门，能够使远程攻击者秘密控制已经受到破坏的系统。

全新的后门

黑客在MSSQL Server数据库中秘密植入恶意软件，并创建了后门机制，该机制可使黑客使用“魔法密码”（magic password）连接到任何帐户。

任何用户在身份验证对话框中输入“魔法密码”，将会自动授权该用户访问权限，同时阻止执行正常的日志记录、事件发布以及审核机制，从而有效地在服务器内部创建了虚假会话。

借此后门将会隐藏在数据库中，并且引导管理员怀疑其他错误，以逃避检测，并且获得实现持久性和隐身性所需的管理特权。

这样一来，攻击者能够秘密地复制、修改或者删除存储在数据库中的内容，其造成的影响因应用程序而异。

例如，可以通过此种手段操控游戏中的货币数据库，以获取经济利益。

Skip-2.0

作为首个公开记录的MSSQL Server后门，Skip-2.0由黑客组织Winnti Group编写，可以作为工具在内存中运行，并允许远程攻击者使用魔法密码连接到运行MSSQL 11和12版本的任何账户。

skip-2.0的拆包和注入

一旦植入到已经中招的MSSQL服务器上，skip-2.0后门会继续通过sqllang.dll将其恶意代码注入到sqlserv.exe进程中，通过钩子（hook）把用于将身份验证记入日志的多个函数关联起来。

这使其能够绕过身份验证机制，即使攻击者输入的帐户密码不匹配，也允许他们登录进去。

研究人员表示，该函数的钩子（hook）检查用户提供的密码是否与魔法密码匹配，在这种情况下，原始函数不会被调用，钩子会返回0，即使没有提供正确的密码也允许连接。

本次受影响的版本主要是MSSQL Server 11和12，分别与2012年和2014年发布，尽管它们不是最新版本，但数据表明它们是最常用的版本。

因此受影响的用户应该尽快更新到最新版本以确保避免受到此类安全威胁。

* 本文由看雪编辑 LYA 编译自 The Hacker News，转载请注明来源及作者。