近日,来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件,名为Maggie,已经感染了全球250多个微软SQL服务器。

据悉,该恶意软件以 "扩展存储过程 "的形式出现,这些存储过程从DLL文件调用功能。装入服务器后,攻击者可以使用SQL查询来控制它,并提供各种功能来运行命令,并与文件互动。该后门还能够强行登录到其他MSSQL服务器,以增加一个特殊的硬编码后门。

此外,该后门还具有对其他MSSQL服务器进行暴力破解登录的能力,同时在成功破解管理员登录的情况下,增加一个特殊的硬编码后门用户。基于这一发现,全球有超过250台服务器受到影响,而且明显集中在亚太地区。一旦被攻击者加载到服务器中,它就只用SQL查询来控制,并提供各种功能来运行命令,与文件互动,并作为网络桥头堡进入受感染的服务器环境。

在调查新的威胁时,专家们发现了一个可疑的文件,该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称,sqlmaggieAntiVirus_64.dll,它提供了一个名为maggie的单一导出。

检查DLL文件时,专家们发现它是一个扩展存储过程,它允许SQL查询运行shell命令。

Maggie恶意软件支持超过51条命令来收集系统信息和运行程序,它还能够支持与网络有关的功能,如启用TermService,运行Socks5代理服务器或设置端口转发,使Maggie作为桥头堡进入服务器的网络环境。

Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。

Maggie实现了简单的TCP重定向,允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。

当启用时,如果源IP地址与用户指定的IP掩码相匹配,Maggie会将任何传入的连接(在MSSQL服务器正在监听的任何端口)重定向到先前设置的IP和端口。该实施方案实现了端口重用,使重定向对授权用户来说是透明的,而任何其他连接的IP都能够使用服务器而不受任何干扰,也不会被Maggie知道。

专家们注意到,支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到,用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前,手动上传了剥削DLL。

然后,Maggie会加载用户指定的DLL,寻找一个名为StartPrinter或ProcessCommand(取决于使用的确切命令)的出口,并通过用户提供的参数。

研究人员分享了这种威胁的妥协指标(IoCs),并宣布他们将继续调查,以确定受影响的服务器是如何被利用的。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。