有一種新型的惡意軟件已經(jīng)黑入眾多的SQL SERVER 數(shù)據(jù)庫(kù)服務(wù)器中，這個(gè)后門(mén)稱為Maggia ,已經(jīng)感染了全球數(shù)百臺(tái)的主機(jī)。

Maggia 通過(guò)SQL查詢控制的方式進(jìn)入，其中他主要通過(guò)暴力破解管理員的方式登錄到SQL SERVER 服務(wù)器中，這個(gè)后門(mén)是由德國(guó)分析師Johann Aydinbas和Axel Wauer在DCSO CyTec發(fā)現(xiàn)的。遙測(cè)數(shù)據(jù)顯示，Maggie在韓國(guó)、印度、越南、中國(guó)、俄羅斯、泰國(guó)、德國(guó)和美國(guó)更為普遍。

Maggie命令 對(duì)惡意軟件的分析表明，它偽裝成一個(gè)名為"sqlmaggieAntiVirus_64.dll"的擴(kuò)展存儲(chǔ)過(guò)程DLL文件，該文件由DEEPSoft Co. Ltd數(shù)字簽名，這家公司似乎位于韓國(guó)。擴(kuò)展存儲(chǔ)過(guò)程文件通過(guò)使用接受遠(yuǎn)程用戶參數(shù)并以非結(jié)構(gòu)化數(shù)據(jù)響應(yīng)的API擴(kuò)展SQL查詢的功能。Maggie利用這種技術(shù)行為，通過(guò)一個(gè)包含51個(gè)命令的豐富設(shè)置來(lái)實(shí)現(xiàn)遠(yuǎn)程后門(mén)訪問(wèn)。

DCSO CyTec的一份報(bào)告稱，Maggie支持的各種命令可以查詢系統(tǒng)信息、執(zhí)行程序、與文件和文件夾交互、啟用遠(yuǎn)程桌面服務(wù)（TermService）、運(yùn)行SOCKS5代理以及設(shè)置端口轉(zhuǎn)發(fā)。

攻擊者可以為這些命令附加參數(shù)，有時(shí)Maggie甚至?xí)橹С值膮?shù)提供使用說(shuō)明。

命令列表還包括四個(gè)“Exploit”命令，表明攻擊者可能會(huì)利用已知的漏洞進(jìn)行某些操作，比如添加新用戶。通過(guò)在定義密碼列表文件和線程計(jì)數(shù)后進(jìn)行“SqlScan”和“WinSockScan”命令進(jìn)行暴力破解管理員密碼。如果成功，服務(wù)器將添加一個(gè)硬編碼的后門(mén)用戶。

該惡意軟件提供簡(jiǎn)單的TCP重定向功能，使遠(yuǎn)程攻擊者能夠連接到受感染的MS-SQL服務(wù)器可以訪問(wèn)的任何IP地址。

“該實(shí)現(xiàn)啟用了端口重用，使得重定向?qū)τ谑跈?quán)用戶來(lái)說(shuō)是透明的，而任何其他連接的IP都能夠在沒(méi)有任何干擾或?qū)aggie的認(rèn)識(shí)的情況下使用該服務(wù)器”，研究人員補(bǔ)充道。該惡意軟件還具備SOCKS5代理功能，可以通過(guò)代理服務(wù)器路由所有網(wǎng)絡(luò)數(shù)據(jù)包，使其在需要時(shí)更加隱匿。

目前還有一些細(xì)節(jié)尚未可知，比如Maggie在感染后的使用方式、惡意軟件最初是如何植入服務(wù)器的，以及誰(shuí)是這些攻擊背后的幕后人。

原文：https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/