Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。
而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获取经济利益,而Winnti操纵游戏币的行为也不是什么新鲜事了。
据我们所知,skip-2.0是第一个公开记录的MSSQL Server后门。奇热虽然MSSQL Server 11和12不是其最新版本(分别于2012年和2014年发布),但根据Censys的数据,它们还是当前最常用的版本。
skip-2.0与Winnti组织使用的另一个工具——PortReuse后门有很多相似之处,后者在2019年10月被检测到,它们都使用相同的自定义封装器和VMProtected启动器,这也是把该后门归于Winnti的原因之一。
本文将重点介绍skip-2.0的技术细节和功能,以及它与Winnti Group的已知工具(PortReuse后门、ShadowPad)技术上的相似之处。
VMProtected启动器
Winnti组织所使用的VMProtected启动器,其payload通常是PortReuse或ShadowPad,而这次研究人员发现的新样本则是skip-2.0。
嵌入的payload
与PortReuse和ShadowPad一样,skip-2.0嵌入在VMProtected启动器的Overlay中,如图1所示:ktv