{"id":223882,"date":"2019-10-22T23:29:07","date_gmt":"2019-10-22T21:29:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223882"},"modified":"2022-05-30T13:00:41","modified_gmt":"2022-05-30T11:00:41","slug":"chinesische-hacker-installieren-ms-sql-server-backdoor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/22\/chinesische-hacker-installieren-ms-sql-server-backdoor\/","title":{"rendered":"Chinesische Hacker installieren MS SQL-Server-Backdoor"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Sicherheitsforscher sind auf eine geh\u00e4rtete Schadsoftware mit dem Namen skip-2.0 gesto\u00dfen, die auf MS SQL-Servern installiert wird. Chinesische Hacker der Winnti-Gruppe verwenden die Schadsoftware als Backdoor, um auf jede Datenbank zugreifen zu k\u00f6nnen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d8e70907d2cc4cb1ac3893452fb277eb\" width=\"1\" height=\"1\"\/>Ich bin bereits vor einigen Stunden auf den Tweet von Catalin Cimpanu gesto\u00dfen, der auf diese neue Information hinweist und seinen ZDNet-Artikel verlinkt. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Researchers find stealthy MSSQL server backdoor developed by Chinese cyberspies<\/p>\n<p>-named skip-2.0<br \/>-works on MSSQL 12 &amp; 11 only<br \/>-uses \"magic password\" to let hackers access any DB account<br \/>-doesn't leave traces in logs<br \/>-linked to Winnti Group\/APT41<a href=\"https:\/\/t.co\/E76HKiJO4x\">https:\/\/t.co\/E76HKiJO4x<\/a> <a href=\"https:\/\/t.co\/ZDqo8nt4YS\">pic.twitter.com\/ZDqo8nt4YS<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1186234926083067904?ref_src=twsrc%5Etfw\">October 21, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Ein weiterer Beitrag findet sich auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/chinese-hackers-use-new-malware-to-backdoor-microsoft-sql-servers\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer<\/a>. Entdeckt wurde die neue Malware der chinesischen Winnti-Gruppe von ESET-Sicherheitsforschern, die das Ganze in <a href=\"https:\/\/web.archive.org\/web\/20220121044449\/https:\/\/www.welivesecurity.com\/2019\/10\/21\/winnti-group-skip2-0-microsoft-sql-server-backdoor\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> beschreiben.<\/p>\n<p>Die Malware funktioniert mit MS SQL Server 11 und 12 (die Version 12 der Software wurde bereits 2014 freigegeben, ist aber breit im Einsatz). Einmal auf einem bereits kompromittierten MS SQL-Server abgelegt, injiziert die skip-2.0-Backdoor den Schadcode \u00fcber die Datei <em>sqllang.dll <\/em>in den Prozess <em><\/em><em>sqlserv.exe. <\/em>Die Backdoor h\u00e4ngt sich in mehrere Funktionen ein, die zum Protokollieren einer Authentifizierung verwendet werden.<\/p>\n<p>ESET schreibt: \"Der Hook dieser Funktion \u00fcberpr\u00fcft, ob das vom Benutzer angegebene Passwort mit dem magischen Passwort \u00fcbereinstimmt. Iin diesem Fall wird die urspr\u00fcngliche Funktion nicht aufgerufen und der Hook gibt 0 zur\u00fcck, so dass die Verbindung hergestellt werden kann, obwohl das richtige Passwort nicht angegeben wurde.\" Damit kann man praktisch auf jede Datenbank, die auf dem infizierten MS SQL-Server gespeichert ist, zugreifen. <\/p>\n<p>Hinter der Backdoor steckt die chinesische Winnti-Gruppe, ein generische Name, den ESET f\u00fcr staatlich unterst\u00fctzte Hacker (ATP 41) verwendet. ESET schreibt, dass der Skip-2.0-Code Hinweise enth\u00e4lt, die ihn mit anderen Winnti-Hacking-Tools wie PortReuse und ShadowPad Backdoors verkn\u00fcpften.<\/p>\n<p>PortReuse ist eine IIS-Server-Backdoor, die ESET Anfang des Jahres in den gef\u00e4hrdeten Netzwerken von Hard- und Softwareanbietern in ganz S\u00fcdasien gefunden hat. ShadowPad ist ein Windows-Backdoor-Trojaner, der zum ersten Mal in Anwendungen des s\u00fcdkoreanischen Softwareherstellers NetSarang integriert wurde, nachdem chinesische Hacker Mitte 2017 deren Infrastruktur infiziert hatten. Weitere Details lassen sich den verlinkten Artikeln entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher sind auf eine geh\u00e4rtete Schadsoftware mit dem Namen skip-2.0 gesto\u00dfen, die auf MS SQL-Servern installiert wird. Chinesische Hacker der Winnti-Gruppe verwenden die Schadsoftware als Backdoor, um auf jede Datenbank zugreifen zu k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-223882","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223882"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223882\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}