LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

SQL SERVER 数据库危险中,新型恶意后门 Maggia 抬头

admin
2024年3月28日 22:57 本文热度 547

有一种新型的恶意软件已经黑入众多的SQL SERVER 数据库服务器中,这个后门称为Maggia ,已经感染了全球数百台的主机。

Maggia 通过SQL查询控制的方式进入,其中他主要通过暴力破解管理员的方式登录到SQL SERVER 服务器中,这个后门是由德国分析师Johann Aydinbas和Axel Wauer在DCSO CyTec发现的。遥测数据显示,Maggie在韩国、印度、越南、中国、俄罗斯、泰国、德国和美国更为普遍。

Maggie命令 对恶意软件的分析表明,它伪装成一个名为"sqlmaggieAntiVirus_64.dll"的扩展存储过程DLL文件,该文件由DEEPSoft Co. Ltd数字签名,这家公司似乎位于韩国。扩展存储过程文件通过使用接受远程用户参数并以非结构化数据响应的API扩展SQL查询的功能。Maggie利用这种技术行为,通过一个包含51个命令的丰富设置来实现远程后门访问。

DCSO CyTec的一份报告称,Maggie支持的各种命令可以查询系统信息、执行程序、与文件和文件夹交互、启用远程桌面服务(TermService)、运行SOCKS5代理以及设置端口转发。

攻击者可以为这些命令附加参数,有时Maggie甚至会为支持的参数提供使用说明。

命令列表还包括四个“Exploit”命令,表明攻击者可能会利用已知的漏洞进行某些操作,比如添加新用户。通过在定义密码列表文件和线程计数后进行“SqlScan”和“WinSockScan”命令进行暴力破解管理员密码。如果成功,服务器将添加一个硬编码的后门用户。

恶意软件提供简单的TCP重定向功能,使远程攻击者能够连接到受感染的MS-SQL服务器可以访问的任何IP地址。

“该实现启用了端口重用,使得重定向对于授权用户来说是透明的,而任何其他连接的IP都能够在没有任何干扰或对Maggie的认识的情况下使用该服务器”,研究人员补充道。该恶意软件还具备SOCKS5代理功能,可以通过代理服务器路由所有网络数据包,使其在需要时更加隐匿。

目前还有一些细节尚未可知,比如Maggie在感染后的使用方式、恶意软件最初是如何植入服务器的,以及谁是这些攻击背后的幕后人。

原文:https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/



该文章在 2024/3/28 22:58:08 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved