Η ομάδα ερευνητών της ESET ανέλυσε ένα δείγμα από ένα νέο backdoor, που οι δημιουργοί του έχουν ονομάσει skip-2.0. Όπως πρόσφατα ανακαλύφθηκε, το backdoor προστέθηκε στο οπλοστάσιο της περιβόητης ομάδας κυβερνοκατασκοπείας Winnti. Συγκεκριμένα, το skip-2.0 επιτίθεται στο MSSQL Server 11 και 12, επιτρέποντας στους εισβολείς να συνδεθούν σε οποιονδήποτε λογαριασμό MSSQL με έναν ειδικό κωδικό πρόσβασης, κρύβοντας αυτόματα αυτές τις συνδέσεις από τα αρχεία καταγραφής. Ένα τέτοιο backdoor θα μπορούσε να επιτρέψει σε έναν εισβολέα να αντιγράψει, να τροποποιήσει ή να διαγράψει περιεχόμενο από τις βάσεις δεδομένων. Αυτή η δυνατότητα θα μπορούσε να χρησιμοποιηθεί, για παράδειγμα, για την κατάχρηση νομισμάτων σε παιχνίδια με στόχο το οικονομικό όφελος. Είναι γνωστό ότι στο παρελθόν, οι κυβερνοεγκληματίες της ομάδας Winnti είχαν εμπλακεί σε κακόβουλες ενέργειες σχετικές με βάσεις δεδομένων νομισμάτων σε παιχνίδια.
«Το συγκεκριμένο backdoor επιτρέπει στον εισβολέα να παραμείνει ανθεκτικό μέσα στο MSSQL server του θύματος μέσω της χρήσης ενός ειδικού κωδικού πρόσβασης, και, παράλληλα, αόρατο, χάρη στους μηχανισμούς multiple log και event publishing, που απενεργοποιούνται όταν χρησιμοποιείται αυτός ο κωδικός πρόσβασης», εξηγεί ο ερευνητής της ESET Mathieu Tartare, που συμμετείχε στις έρευνες για την ομάδα Winnti. «Δοκιμάσαμε το skip-2.0 σε πολλές εκδόσεις του MSSQL Server και διαπιστώσαμε ότι μπορούσαμε να συνδεθούμε με επιτυχία χρησιμοποιώντας τον ειδικό κωδικό πρόσβασης μόνο με τους MSSQL Server 11 και 12. Παρόλο που οι MSSQL Server 11 και 12 δεν είναι οι πιο πρόσφατες εκδόσεις, είναι οι πιο συνηθισμένες», προσθέτει ο Tartare.
Η ESET έχει παρατηρήσει πολλές ομοιότητες μεταξύ του skip-2.0 και άλλων γνωστών εργαλείων από το οπλοστάσιο της ομάδας Winnti, όπως ένα launcher VMPprotected, το custom packer του και ένα Inner-Loader injector που χρησιμοποιούν την ίδια διαδικασία hooking. «Λόγω αυτού συμπεραίνουμε ότι το skip-2.0 ανήκει επίσης σε αυτή την εργαλειοθήκη», λέει ο Tartare.
Οι ερευνητές της ESET παρακολουθούσαν για αρκετό καιρό τις δραστηριότητες της Winnti. Η ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και της καταλογίζονται οι υψηλού προφίλ επιθέσεις «supply-chain» κατά της βιομηχανίας βιντεοπαιχνιδιών και λογισμικού. Η ESET δημοσίευσε πρόσφατα σχετικό white paper με περισσότερες πληροφορίες για το οπλοστάσιο της ομάδας Winnti και παρουσιάζει για πρώτη φορά ένα backdoor που ονομάζεται PortReuse.
Περισσότερες τεχνικές λεπτομέρειες βρίσκονται στο άρθρο «Winnti Group's skip-2.0: a Microsoft SQL Server backdoor» σχετικά με τις λειτουργίες αυτού του backdoor, καθώς και τις ομοιότητες με το γνωστό οπλοστάσιο της ομάδας Winnti - ειδικότερα με τα backdoor PortReuse και ShadowPad.
Όλες οι τελευταίες εξελίξεις και οι έρευνες βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το.
| |