افتانا 1 آبان 1398 ساعت 8:58 http://www.aftana.ir/fa/doc/news/15928/شناسایی-یک-بدافزار-سرورهای-mssql -------------------------------------------------- عنوان : شناسایی یک بدافزار در سرورهای MSSQL -------------------------------------------------- بدافزاری شناسایی شد‌ه‌است که با دست‌کاری پایگاه داده (Microsoft SQL Server (MSSQL و ایجاد یک مکانیزم بک‌دور (Back Door)، مهاجم بتواند با استفاده از یک «گذرواژه جادویی» به هر حساب دلخواه متصل شود. متن : بدافزاری شناسایی شد ه است که با دست کاری پایگاه داده (Microsoft SQL Server (MSSQL و ایجاد یک مکانیزم بک دور (Back Door)، مهاجم بتواند با استفاده از یک گذرواژه جادویی به هر حساب دلخواه متصل شود. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ESET بدافزار جدیدی را کشف کرده اند که پایگاه داده (Microsoft SQL Server (MSSQL را دست کاری و یک مکانیزم بک دور (Back Door) ایجاد می کند که به مهاجم اجازه می دهد با استفاده از یک گذرواژه جادویی به هر حساب دلخواه متصل شود. بک دور کشف شده نشست کاربران را در هربار استفاده از گذرواژه جادویی در لاگ های اتصال به پایگاه داده پنهان می کند که این کار به مهاجمان کمک می کند تا در صورت شک مدیران سیستم نسبت به وجود فعالیت های مخرب، شناسایی نشوند. بر اساس گزارشی که توسط ESET منتشر شده است، مهاجمان پس از نفوذ به شبکه های رایانه ای از طریق روش های مختلف، بک دور را به عنوان ابزاری پس از آلوده سازی منتقل می کنند. بک دور با عنوان skip-۲,۰ نام گذاری شده است كه عملگرهای فرایند کنترل کننده احرازهویت MSSQL را دست کاری می کند. هدف اصلی بدافزار ایجاد یک گذرواژه جادویی است. اگر گذرواژه جادویی در داخل هر نشست احرازهویت کاربر وارد شود به طور خودکار به آن کاربر دسترسی داده می شود، در حالی که از ورود عادی به سیستم و اجرای عملکردهای بررسی ورود جلوگیری می شود. این فرایند به طور موثری یک نشست مخفی در سرور ایجاد می کند. به گفته ESET، بدافزار skip-۲,۰ فقط در نسخه های ۱۲ و ۱۱ سرورهای MSSQL کار می کند. با اینکه MSSQL Server ۱۲ جدیدترین نسخه نیست و در سال ۲۰۱۴ منتشر شده، اما براساس اطلاعات منتشر شده توسط Censys، رایج ترین نسخه مورد استفاده است. این بدافزار به گروه Winnti ارتباط داده شده است و شواهدی مبنی بر اشتراک کدهای آن با بدافزارهای PortReuse و ShadowPad وجود دارد. بدافزار PortReuse یک بک دور برای سرورهای IIS و ShadowPad یک تروجان ویندوزی است. بک دور skip-۲,۰ می تواند به منظور کپی، ویرایش یا حذف محتوای پایگاه داده مورد استفاده قرار گیرد.