{"id":273615,"date":"2022-10-06T08:45:45","date_gmt":"2022-10-06T06:45:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273615"},"modified":"2022-11-07T08:03:29","modified_gmt":"2022-11-07T07:03:29","slug":"deutsche-sicherheitsfirma-dcso-findet-maggie-backdoor-in-ms-sql-servern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/06\/deutsche-sicherheitsfirma-dcso-findet-maggie-backdoor-in-ms-sql-servern\/","title":{"rendered":"Deutsche Sicherheitsfirma DCSO findet Maggie-Backdoor in MS SQL-Servern"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Technical Threat Research-Experten der deutschen Sicherheitsfirma DCSO sind k\u00fcrzlich auf eine neuartige Backdoor gesto\u00dfen. Die Maggie getaufte Malware zielt Microsoft SQL-Server ab, und bei einer Analyse wurden weltweit hunderte infizierte Installationen gefunden. Hier ein kurzer \u00dcberblick \u00fcber den Sachstand.<\/p>\n

<\/p>\n

\"\"Der Microsoft SQL Server ist ein relationales Datenbankmanagementsystem von Microsoft. Administratoren von Microsoft SQL-Servern m\u00fcssen derzeit wohl wieder besonders aufmerksam im Hinblick auf Schadsoftware und Cyberangriffe sein.<\/p>\n

Ransomware FARGO zielt auf MS SQL-Server<\/h2>\n

Bereits Ende September 2022 hatte ich bei den Kollegen von Bleeping Computer den Hinweis<\/a> gesehen, dass Sicherheitsforscher vor einer neuen Angriffswelle auf anf\u00e4llige Microsoft-SQL-Server Ziel durch die Ransomware FARGO warnten. Laut Bleeping Computer war die neue Angriffswelle katastrophaler als vorhergehende Angriffe im Februar und Juli 2022 – damals wurden nur zuf\u00e4llig MS SQL-Server \u00fcbernommen, um Bandbreite f\u00fcr Proxy-Dienste zu stehlen. Nun kommt mit der Maggie-Backdoor eine neue Bedrohung hinzu.<\/p>\n

Die Maggie-Backdoor<\/h2>\n

Ich bin die Nacht auf Twitter auf diesen Sachverhalt gesto\u00dfen. Die in Berlin ans\u00e4ssige DCSO<\/a> (Deutsche Cyber-Sicherheitsorganisation GmbH) ist in der Abwehr von organisierter Cyberkriminalit\u00e4t und Wirtschaftsspionage aktiv. Deren Technical Threat Research-Experten sind k\u00fcrzlich im Rahmen der \u00dcberwachung signierter Bin\u00e4rdateien auf eine neuartige Backdoor gesto\u00dfen, wie sie in nachfolgendem Tweet<\/a> mitteilen.<\/p>\n

\"Maggie<\/a><\/p>\n

Diese Backdoor zielt auf Microsoft SQL-Server ab. Die Malware kommt in Form einer \"Extended Stored Procedure\"-DLL, einer speziellen Art von Erweiterung, die von Microsoft SQL-Servern verwendet wird. Sobald diese Prozedur von einem Angreifer in einen Server geladen wurde, wird sie ausschlie\u00dflich \u00fcber SQL-Abfragen gesteuert und bietet eine Vielzahl von Funktionen, um Befehle auszuf\u00fchren, mit Dateien zu interagieren und als Netzwerk-Bridge Head in die Umgebung des infizierten Servers zu fungieren.<\/p>\n

Dar\u00fcber hinaus verf\u00fcgt die Backdoor \u00fcber die F\u00e4higkeit, Logins zu anderen MSSQL-Servern zu erzwingen und im Falle einer erfolgreichen Erzwingung von Admin-Logins einen speziellen, fest kodierten Backdoor-Benutzer hinzuzuf\u00fcgen. Aufgrund der in der Malware gefundenen Artefakte bezeichnet DCSO CyTec diese neuartige Bedrohung als \"Maggie\". Die Details hat das DCSO CyTec-Team auf Medium im Beitrag MSSQL, meet Maggie<\/a> bereitgestellt. Den Sicherheitsforschern ist aktuell unklar, \u00fcber welchen spezifischen Exploit die Malware in die MS SQL-Server eingeschleust wird. Im Maggies Befehlssatz wurden zwei Befehle gefunden, um Anmeldungen bei anderen MSSQL-Servern zu erzwingen:<\/p>\n

SqlScan
\nWinSockScan<\/p>\n

Die Bedrohungsakteure k\u00f6nnen dann einen Bruteforce-Scan starten, indem vorher eine Host-, Benutzer- und Passwortlistendatei auf den infizierten Server hochgeladen wird. Weiterhin wird eine optionale Thread-Anzahl f\u00fcr die Angriffe vorgegeben. Maggie erstellt dann Kombinationen von (host, user, pass) und versucht, sich \u00fcber SQL mit ODBC an anderen Servern anzumelden. Im Falle eines WinSockScan wird dagegen eine Neuimplementierung mit grundlegenden Socket-Funktionen f\u00fcr den Scan verwendet.<\/p>\n

Erfolgreiche Anmeldungen werden in eine fest kodierte Protokolldatei geschrieben, die sich an einem von zwei Orten befinden kann:<\/p>\n

C:\\ProgramData\\success.dat
\n<MAGGIE_LOCATION>\\success.dat<\/p>\n

Maggie versucht dann festzustellen, ob der geknackte Login des Kontos Admin-Rechte hat. Falls ein Admin-Benutzer erfolgreich geknackt wurde, hat, f\u00e4hrt Maggie mit dem Hinzuf\u00fcgen eines hartcodierten Backdoor-Benutzers fort. Basierend auf dieser Erkenntnis f\u00fchrte DCSO CyTec einen Scan auf \u00f6ffentlich erreichbaren MSSQL-Servern durch, um festzustellen, wie verbreitet der identifizierte Backdoor-User ist.<\/p>\n

 <\/p>\n


\nMaggie-Backdoor Infektionen<\/p>\n

Auf der Grundlage dieser Erkenntnisse haben die Sicherheitsforscher mal nachgeschaut, wie stark die Malware verbreitet ist. Von ca. 600.000 weltweit gescannten Servern wurden 285 Instanzen identifiziert, die mit der Maggies Backdoor infiziert sind. Das Ganze verteilt sich auf 42 L\u00e4nder, wobei der Schwerpunkt eindeutig auf dem asiatisch-pazifischen Raum liegt. Die in obigem Bild gezeigte Heat-Map zeigt den Schwerpunkt der Infektionen in Indien, Vietnam und S\u00fcdkorea, wobei aber auch Infektionen in Europa sowie in den USA nachgewiesen wurden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Technical Threat Research-Experten der deutschen Sicherheitsfirma DCSO sind k\u00fcrzlich auf eine neuartige Backdoor gesto\u00dfen. Die Maggie getaufte Malware zielt Microsoft SQL-Server ab, und bei einer Analyse wurden weltweit hunderte infizierte Installationen gefunden. Hier ein kurzer \u00dcberblick \u00fcber den Sachstand.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[3347,8341,4715,4328],"class_list":["post-273615","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-backdoor","tag-ms-sql-server","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273615"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273615\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}