❤️ AZDIGI chính thức cập nhật hệ thống blog mới hoàn chỉnh. Tuy nhiên có thể một số bài viết bị sai lệch hình ảnh, hãy ấn nút Báo cáo bài viết ở cuối bài để AZDIGI cập nhật trong thời gian nhanh nhất. Chân thành cám ơn.
Các nhà nghiên cứu an ninh mạng mới đây đã tuyên bố phát hiện ra một cửa hậu không có giấy tờ được thiết kế riêng cho máy chủ Microsoft SQL có thể cho phép tấn công từ xa để kiểm soát một hệ thống đã bị xâm phạm một cách lén lút với tên gọi là Skip-2.0.
Phần mềm Blacklink Microsoft SQL Server là một công cụ khai thác sau chạy trong bộ nhớ, chúng cho phép kẻ tấn công từ xa kết nối với bất kỳ tài khoản nào chạy trên máy chủ MSSQL phiên bản 11 và phiên bản 12 bằng cách sử dụng “mật khẩu ma thuật”.
Để nạn nhân không phát hiện phần mềm này trên máy chủ MSSQL, phần mềm Blacklink Microsoft SQL Server này đã xâm nhập bằng cách vô hiệu hóa các chức năng ghi nhật ký của máy bị xâm nhập, xuất bản sự kiện và cơ chế kiểm toán mỗi khi sử dụng “mật khẩu ma”
Nhờ phần mềm này mà kẻ tấn công có thể len lút sao chép, sửa đổi hoặc xóa nội dung được lưu trữ trong cơ sở dữ liệu. Tác động này tùy theo từng ứng dụng được tích hợp với các máy chủ được nhắm mục tiêu.
Các nhà nghiên cứu còn cho biết, nó có thể được sử dụng với nhiều mục đích khác nhau như trong việc thao túng tiền tệ trong trò chơi nhằm thu lợi tài chính hay thao tác được cơ sở dữ liệu tiền tệ trong trò chơi Winnti.
Mới đây trong báo cáo mới nhất được công bố bởi công ty an ninh mạng ESET, các nhà nghiên cứu đã gắn lại back-Skip Skip-2.0 cho một nhóm diễn viên đe dọa do nhà nước Trung Quốc gọi là Winnti Group, vì phần mềm độc hại chứa nhiều điểm tương đồng với các công cụ nổi tiếng khác của nhóm Winnti, đặc biệt là backReuse và PortPad.
Quy trình khởi chạy của Skip-2.0 của Blacklink Microsoft SQL
Giống như các tải trọng khác của tập đoàn Winnti, Skip-2.0 cũng sử dụng trình khởi chạy VMProyected được mã hóa, trình đóng gói tùy chỉnh, bộ nạp nội bộ và khung móc để cài đặt cửa sau và vẫn tồn tại trên hệ thống được nhắm mục tiêu bằng cách khai thác các lỗ hổng DLL (Dynamic Link Library) trong quy trình Windows thuộc về dịch vụ khởi động hệ thống.
Do phần mềm độc hại Skip-2.0 là một công cụ khai thác, nên những kẻ tấn công cần phải thỏa hiệp với các máy chủ MSSQL đã được nhắm làm mục tiêu để có được các đặc quyền quản trị cần thiết cho cuộc tấn công.
Lưu ý: Mặc dù MSSQL Server 11 và 12 không phải phiên bản mới nhất nhưng chúng là phiên bản được sử dụng phổ biến nhất theo dữ liệu của Censys.
Có thể bạn cần xem thêm
- 5 Cuộc tấn công phần mềm độc hại bạn nên biết
- Cảnh báo cho người dùng WordPress sử dụng Elementor và Beaver Builder
- WAF là gì? - Ứng dụng bảo vệ website
- Tổng quan bảo mật VPS Linux - Hiểu rõ mối nguy trước khi phòng thủ
- ModSecurity trong cPanel là gì và cách bật tắt?
- CloudLinux Ra Mắt Tính Năng Per-Site CageFS: Nâng Tầm Bảo Mật Cho Shared Hosting
Về tác giả
Thạch Phạm
Đồng sáng lập và Giám đốc điều hành của AZDIGI. Có hơn 15 năm kinh nghiệm trong phổ biến kiến thức liên quan đến WordPress tại thachpham.com, phát triển website và phát triển hệ thống.