Umblă vorba că ar exista un backdoor de SQL Server (MSSQL versiunile 11 și 12) care ar permite conectarea de la distanță și efectuarea de operații fără ca prezența pe server să poată fi identificată în log-uri.
Malware-ul care activează acest backdoor se numește Skip-2.0 și evident, e instalat pe sisteme deja infectate, rămânând în memorie după infecție și permite atacatorilor să se conecteze pe orice cont de pe server-ul SQL folosind o parolă ”magică”. Skip-2.0 rămâne invizibil pentru că dezactivează opțiunile de log-are de pe server de fiecare dată când respectiva parolă e folosită.
Beneficiind de astfel de privilegii un atacator poate să își facă de cap în bazele de date compromise, depinzând de ceea ce urmărește. De exemplu e posibil să se manipuleze tranzacții financiare în scopul de a extrage sume considerabile.
Conform ESET, în spatele Skip-2.0 s-ar afla Winnti, o grupare criminală despre care se spune că ar avea legături cu China, pentru că malware-ul are multe elemente similare cu instrumentele dezvoltate și folosite de Winnti, în special PortReuse și ShadowPad.
PortReuse este un backdoor de Windows care se întroduce într-un proces ce folosește deja un anumit port, folosind conexiunea deja deschisă de către acesta, pentru a nu atrage atenția. ShadowPad este un backdoor de Windows folosit pentru operații complexe de remote control. Peste ele, Skip-2.0 folosește un launcher VMProtected pentru a instala backdoor-urile în cauză și rămâne pe sistem prin exploatarea unor vulnerabilități de Windows, încărcându-se în procesele ce rulează la start-up.
Singura parte bună este că Skip-2.0 este un instrument post exploitation, adică devine util doar după ce o altă vulnerabilitate a fost folosită pentru accesul pe sistem. În plus problema de SQL pare să afecteze doar versiunile 11 și 12 (adică versiuni lansate în 2012 și 2014), din păcate cele mai folosite în acest moment.
Detalii mai multe despre skip-2.0 găsiți aici dacă vreți să aflați mai multe.
