skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门

最新推荐文章于 2022-09-07 16:59:28 发布
最新推荐文章于 2022-09-07 16:59:28 发布
阅读量414 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/102929847
版权
ESET研究人员发现Winnti组织使用的新型后门skip-2.0,主要针对MSSQL Server 11/12,通过魔术密码实现秘密连接,允许攻击者隐蔽地操控数据库,影响游戏经济系统。此后门具备高隐蔽性和持久性,是首个公开记录的MSSQL Server后门。
摘要由CSDN通过智能技术生成

Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。

而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获取经济利益,而Winnti操纵游戏币的行为也不是什么新鲜事了。

据我们所知,skip-2.0是第一个公开记录的MSSQL Server后门。奇热虽然MSSQL Server 11和12不是其最新版本(分别于2012年和2014年发布),但根据Censys的数据,它们还是当前最常用的版本。

skip-2.0与Winnti组织使用的另一个工具——PortReuse后门有很多相似之处,后者在2019年10月被检测到,它们都使用相同的自定义封装器和VMProtected启动器,这也是把该后门归于Winnti的原因之一。

本文将重点介绍skip-2.0的技术细节和功能,以及它与Winnti Group的已知工具(PortReuse后门、ShadowPad)技术上的相似之处。

VMProtected启动器

Winnti组织所使用的VMProtected启动器,其payload通常是PortReuse或ShadowPad而这次研究人员发现的新样本则是skip-2.0。

嵌入的payload

与PortReuse和ShadowPad一样,skip-2.0嵌入在VMProtected启动器的Overlay中,如图1所示:ktv

 

最低0.47元/天 解锁文章
systemino
关注
apache-phoenix-5.0.0-HBase-2.0安装与简单使用
Sword1996的博客
08-27 4328
HBase版本:hbase-2.0.5 Phoenix版本:phoenix-5.0.0-HBase-2.0 集群结构 类型 zookeeper Hbase master NameNode 否 HMaster slave1 DataNode 是 HRegionServer slave2 DataNode 是 HRegionServer slave3 DataNode 是...
SqlShell(Sql Server 扩展存储过程后门)
05-04
注:上传的部分不含源码,要下载源码的就不用下载了. 这个软件提供了一种Sql后门的思路.利用扩展存储过程来开放端口服务,并实现从sql server自启动,复用Sql Browser的1434端口,使得外界看起来出于一种无进程,无端口的状态. 具体利用方法,请查看帮助.
新的恶意软件将后门植入微软 SQL Server
寒冰屋的专栏
10-24 354
ESET的研究人员近日发现黑客组织Winnti Group编写的新恶意软件,该恶意软件用于在微软SQL Server(MSSQL)系统上潜伏下来。 攻击者可以利用名为skip-2.0的新恶意工具,将后门植入到MSSQL Server 11和12服务器,从而使他们能够使用所谓的“魔法密码”(magic password)连接到服务器上的任何帐户,并隐藏活动、不被安全日志发现。 ESET的研...
超级隐藏的MSSQL扩展后门
weixin_30718391的博客
08-17 236
鉴于现在管理员非常厉害,还会查隐藏帐户、还会查3389登陆日志、还会查Rootkit、还会查SQL LOG。真TMD BT。新发现一个后门非常隐藏---------------简单三步:1、将xplake2.dll复制到 Microsoft SQL server\mssql\binn目录2、运行如下命令: USE master EXEC sp_addextende...
[译]使用sql创建后门
iteye_16188的博客
10-10 740
原文地址:http://resources.infosecinstitute.com/backdoor-sql-injection/ 在读本文之前应该参考http://resources.infosecinstitute.com/blind-sql-injection/ 本文的目的是通过sql注入漏洞来执行任意命令。为了运行OS命令,我们需要有一个命令行shell(CMD),或者运行允许我...
攻防课堂之SQL Server也成后门.pdf
09-19
攻防课堂之SQL Server也成后门.pdf
使用SKIP-GRANT-TABLES 解决 MYSQL ROOT密码丢失
12-15
忘记MySQL(和PHP搭配之最佳组合) ROOT密码是在MySQL(和PHP搭配之最佳组合)使用很常见的问题,可是有很多朋友并不会重置ROOT密码,那叫苦啊,我有深有感触,特写此文章与大家交流: ... linux环境:/etc/my....skip-gr
外部表报错:ORA-29913: 执行 ODCIEXTTABLEOPEN 调出时出错 ORA-29400: 数据插件错误KUP-04043: table column not found in ext
qq_40294495的博客
06-01 8894
oracle 为11g,报以下错误:ORA-29913: 执行 ODCIEXTTABLEOPEN 调出时出错ORA-29400: 数据插件错误KUP-04043: table column not found in external source: ID开始创建的代码为在网上查找到:外部表的参数部分为下面:        RECORDS DELIMITED BY NEWLINE CHARACTER...
使用Oracle sqlldr遇到ORA-12545: Connect failed... 和 ORA-12154: TNS:could not resolve...报错
拾年一剑 的专栏
05-17 1754
目录背景操作过程第一步第二步第三步解决过程总结 背景 在 Oracle 数据库,有时候需要将表里的记录进行复制或迁移。会用以下几种方法: A 表的记录导出为一条条分号隔开的 insert 语句,然后执行插入到 B 表 建立数据库间的 dblink,然后用 insert into B select * from A@dblink where … exp A 表,再 imp 到 B 表,exp 时可加查询条件 程序实现 select from A …,然后 insert into B …,也要分批提交 再
使用SQLRootKit网页数据库后门控制案例
weixin_34059951的博客
12-18 125
使用SQLRootKit网页数据库后门控制案例 Simeon 通过本案例可以学习到: (1)了解网页数据库后门SQLRootKit等方面的知识 (2)使用SQLRootKit 1.0以及SQLRootKit 3.0数据库后门来控制计算机 SQLRootKit是一种网页脚本来执行数据库命令,前提是需要知道数据库的账号名称和密码,SQLRootKit目前有两种,一种是针对php语言的,其针对...
MSSQL扩展存储后门
lake2的专栏
03-08 7903
Author: lake2 ( http://lake2.0x54.org )注:本文发表于《黑客防线》2006年第2期继WebShell、FTPShell之后,让我们再来玩玩SQLShell 吧。使用数据库考虑最多的就是速度和效率,所以呢,数据库系统就使用了存储过程这种机制来提高速度和效率。SQL Server 2000 支持5种类型的存储过程,这里我们主要说说SQL Serve
sql解封代码(有后门,自行清除)
Yatere的天平秤
04-25 1312
if(@@version like 'Microsoft SQL Server  2000%')use master;elseexec sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE;gocreate procedure dbo.sp_dropextendedproc @functname nvarchar(517) -- name of function as -- If we're in a transactio
unity3d 拖拽攻击箭头_Winnti组织:利用ShadowPad和Winnti恶意软件针对高校发动攻击...
weixin_39665060的博客
11-02 296
转载: 嘶吼专业版 一、概述在2019年11月,我们发现了Winnti恶意组织针对两所香港高校发起的新型恶意活动。在恶意活动,我们发现了ShadowPad后门的新变种,这是该恶意组织主要使用后门。新变种部署了新的启动器,并且嵌入了许多模块。在ShadowPad出现的前几周,我们还在这些高校发现了Winnti恶意软件。Winnti恶意组织自2012年开始活跃,主要针对视频游戏和软件行业展开供...
解决EFCore在SqlServer2008上不支持使用Skip().Take()分页查询的问题
weixin_43872830的博客
09-07 1261
EFcore不支持在SqlServer2008上使用Skip().Take()来进行分页查询问题的解决
《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展
systemino的博客
05-15 326
0x00 前言 《Lateral Movement — SCM and DLL Hijacking Primer》介绍了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以通过SCM(Service Control Manager)实现远程执行。本文将要扩展这三个dll的用法,分别介绍提权和后门利用的方法。 0x01 简介 本文将要介绍以下内容: ...
win7提权system与后门
热门推荐
Shanfenglan's blog
11-17 8万+
CATALOG前言操作过程1.利用wlbsctrl.dll提权2.利用TSMSISrv.dll和TSVIPSrv.dll提权3.实现后门查考文章 前言 今天看了一篇文章,发现文章的利用方法只能在win7上使用,无法在win10上使用,特做记录。 操作过程 1.利用wlbsctrl.dll提权 IKEEXT(IKE and AuthIP IPsec Keying Modules)服务在启动时会加载wlbsctrl.dll,但Windows系统默认配置下该dll不存在,如果我们将自己的dll放在这个位置,在服
使用WinDbg调试SQL Server——入门
weixin_34168880的博客
07-21 128
这篇文章我想探究下SQL Server里完全不同的领域:如果使用WinDbg(来自针对Windows的调试工具)调试SQL Server。在我们进入枯涩细节之前,我想详细解释下为什么选择这样晦涩的话题来写这篇文章。 缘由 当使用SQL Server时,你到底需不需要像WinDbg这样的调试器?简单回答:从不需要!SQL Server是一个稳定的产品,使用它提供的技术(扩展事件,DMVs/DMF...
卡巴斯基实验室又发现一个全球性间谍组织
weixin_34415923的博客
08-01 125
2013年,卡巴斯基实验室的安全专家披露一个针对游戏行业的网络间谍活动,并且恶意程序还是用有效的数字证书签名的。间谍活动的幕后威胁者叫做 Winnti group,其目标是窃取游戏社区的虚拟货币和源代码。 攻击范围 据卡巴斯基发现,Winnti group从2009年一直活跃至今,全球有超过30家游戏公司和在线游戏平台都遭到该组织的攻击。 据称Winn...
git-lfs filter-process --skip: 1: git-lfs: not found fatal: the remote end hung up unexpectedly
最新发布
08-30
这个错误通常表示你的系统未安装 git-lfs 或者没有...尝试上述步骤后,再次运行命令 `git-lfs filter-process --skip`,看看问题是否已经解决。如果问题仍然存在,请提供更多错误信息以便我更准确地帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值