Các nhà nghiên cứu an ninh mạng mới đây đã tuyên bố phát hiện ra một cửa hậu không có giấy tờ được thiết kế riêng cho máy chủ Microsoft SQL có thể cho phép tấn công từ xa để kiểm soát một hệ thống đã bị xâm phạm một cách lén lút với tên gọi là Skip-2.0.
Phần mềm Blacklink Microsoft SQL Server là một công cụ khai thác sau chạy trong bộ nhớ, chúng cho phép kẻ tấn công từ xa kết nối với bất kỳ tài khoản nào chạy trên máy chủ MSSQL phiên bản 11 và phiên bản 12 bằng cách sử dụng “mật khẩu ma thuật”.
Để nạn nhân không phát hiện phần mềm này trên máy chủ MSSQL, phần mềm Blacklink Microsoft SQL Server này đã xâm nhập bằng cách vô hiệu hóa các chức năng ghi nhật ký của máy bị xâm nhập, xuất bản sự kiện và cơ chế kiểm toán mỗi khi sử dụng “mật khẩu ma”
Nhờ phần mềm này mà kẻ tấn công có thể len lút sao chép, sửa đổi hoặc xóa nội dung được lưu trữ trong cơ sở dữ liệu. Tác động này tùy theo từng ứng dụng được tích hợp với các máy chủ được nhắm mục tiêu.
Các nhà nghiên cứu còn cho biết, nó có thể được sử dụng với nhiều mục đích khác nhau như trong việc thao túng tiền tệ trong trò chơi nhằm thu lợi tài chính hay thao tác được cơ sở dữ liệu tiền tệ trong trò chơi Winnti.
Mới đây trong báo cáo mới nhất được công bố bởi công ty an ninh mạng ESET, các nhà nghiên cứu đã gắn lại back-Skip Skip-2.0 cho một nhóm diễn viên đe dọa do nhà nước Trung Quốc gọi là Winnti Group, vì phần mềm độc hại chứa nhiều điểm tương đồng với các công cụ nổi tiếng khác của nhóm Winnti, đặc biệt là backReuse và PortPad.
Quy trình khởi chạy của Skip-2.0 của Blacklink Microsoft SQL
Giống như các tải trọng khác của tập đoàn Winnti, Skip-2.0 cũng sử dụng trình khởi chạy VMProyected được mã hóa, trình đóng gói tùy chỉnh, bộ nạp nội bộ và khung móc để cài đặt cửa sau và vẫn tồn tại trên hệ thống được nhắm mục tiêu bằng cách khai thác các lỗ hổng DLL (Dynamic Link Library) trong quy trình Windows thuộc về dịch vụ khởi động hệ thống.
Do phần mềm độc hại Skip-2.0 là một công cụ khai thác, nên những kẻ tấn công cần phải thỏa hiệp với các máy chủ MSSQL đã được nhắm làm mục tiêu để có được các đặc quyền quản trị cần thiết cho cuộc tấn công.
Lưu ý: Mặc dù MSSQL Server 11 và 12 không phải phiên bản mới nhất nhưng chúng là phiên bản được sử dụng phổ biến nhất theo dữ liệu của Censys.
