Winnti黑客组织MSSQL后门的示例分析
一段时间以来,ESET的研究人员一直在跟踪Winnti的活动,该组织从2012年起就开始活跃,并针对视频游戏和软件行业供应链进行攻击。最近发现一处以前未被登记的后门,其攻击目标为Microsoft SQL(MSSQL)系统。这个后门与PortReuse后门有多处相似之处,PortReuse是Winnti Group使用的另一个工具,于2019年10月首次记录。
Winnti组织成员发布了一个新的后门样本,名为Skip-2.0,今年检测到了该样本。这个后门程序以MSSQL服务器11和12为目标,攻击者可以使用magic密码连接到任何MSSQL帐户,同时自动将这些连接隐藏在日志中。攻击者可以利用后门进入数据库,复制、修改或删除其中的内容,从而操纵游戏内货币,以获取经济利益。根据了解,Skip-2.0是第一个被公开记录的MSSQL服务器后门。
本文将重点介绍mssql服务器后门的技术细节和功能,以及skip.2-0与winnti已知武器库(特别是portreuse后门和shadowpad)的技术相似性。
vmprotected启动程序
我们在查找vmprotected启动程序时找到了skip-2.0,其有效负载通常是portreuse或shadowpad。
嵌入式有效载荷与加密的portreuse和shadowpad有效负载一样,skip-2.0嵌入到vmprotected启动程序中,如图1所示:
加密与其他使用VMProtect启动程序的相同,有效载荷也要进行加密。该加密方式采用RC5算法,密钥由volumeID和字符串"f@ukd!RCTO R$"组成。
持久性与portreuse和shadowpad的一样,启动程序可能会通过利用dll劫持而持续存在,方法是将其安装在c:\windows\system32\tsvipsrv.dll。这会使得系统启动时标准的Windows SessionEnv服务加载DLL。
打包器嵌入有效负载的解密后,实际上是winnti组的自定义打包程序。这个打包器与我们在白皮书中记录的代码是相同的。该工具被用于打包PortReuse后门,并将负载嵌入到受损的视频游戏中。
配置程序打包配置中包含解密二进制文件所需的密钥,以及原始文件的名称、大小和执行类型(exe或dll)。有效载荷配置如表1所示。
打包器配置可以看出,有效负载称为内部装载器。内部加载程序是一个注入器的名称,它是winnti集团的武库的一部分,用于将portreuse后门注入监听特定端口的进程。
内部加载器这是一种内部加载程序的变体,不是像注入portreuse后门时那样寻找监听特定端口的进程,而是寻找名为sqlserv.exe的进程,这是mssql server的常规进程名。如果找到,则内部加载程序会将有效负载注入此进程。此有效负载与自定义打包程序一起打包,该打包程序的配置列于表2中。
此注入负载的原始文件名为skip-2.0.dll。
skip-2.0在被内部加载程序注入并启动之后,skip-2.0首先检查它是否在sqlserv.exe进程中执行,如果是,则检索sqllang.dll的句柄,该句柄由sqlserv.exe加载。然后继续从该dll中查找并挂接多个函数。图2描述了skip-2.0的运行过程。
Hooking sqllang.dllskip-2.0使用的hook过程与netagent非常相似,netagent是负责安装网络hook的portreuse模块。该hook库建立在开源的distorm反汇编程序基础上,多个开源的挂接框架也使用了该反汇编程序。需要一个反汇编库来正确计算要hook的指令的大小。几乎相同的hook过程被NetAgent和Skip-2.0使用,如下图所示。
图3Hex-Rays output comparison between the NetAgent (left) and skip-2.0 (right) hooking procedures
有一个显著的区别就是skip-2.0中的hooking函数将要安装的钩子的地址作为参数,而对于netagent,要安装的钩子的地址是硬编码的。这是因为skip-2.0必须hooksqllang.dll中的多个函数才能正常运行,而netagent只针对一个函数。
要定位hook的每个sqllang.dll函数,skip-2.0首先通过解析pe头来检索加载到内存中的dll的大小(即其虚拟大小)。接着,需初始化sqllang.dll中需要匹配的字节数组,参照图4。一旦找到与字节数组匹配的第一个匹配项的地址,就会使用图3所示的过程安装钩子。
然后,钩子安装成功后会在cleartext中记录,该文件位于硬编码路径c:\ windows\temp\ts\u 2ce1.tmp中,如图5所示。
如果找不到目标函数,钩子安装程序将搜索具有不同字节模式集的回退函数。
通过匹配字节序列来定位目标函数的地址,而不是使用静态偏移量,再加上使用字节的回退序列,skip-2.0可以更灵活地适应mssql更新,并可针对多个sqllang.dll更新。
密码控制skip-2.0的目标函数与身份验证和事件日志记录相关。目标功能包括:
CPwdPolicyManager::ValidatePwdForLoginCSECAuthenticate::AuthenticateLoginIdentity
ReportLoginSuccess
IssueLoginSuccessReport
FExecuteLogonTriggers
XeSqlPkg::sql_statement_completed::Publish
XeSqlPkg::sql_batch_completed::Publish
SecAuditPkg::audit_event::Publish
XeSqlPkg::login::Publish
XeSqlPkg::ual_instrument_called::Publish
其中最有趣的函数是第一个函数(cpwdpolicymanager::validatepwdforlogin),它负责验证为给定用户提供的密码。
此函数的钩子检查用户提供的密码是否与magic密码匹配;如果是,则不会调用原始函数,钩子将返回0,从而允许连接。接下来,设立一个全局标识,由其他负责事件日志记录的钩子函数进行检查。相应的反编译过程如图6所示。在设置此全局标志的情况下,hook的日志记录函数将静默返回,而不调用其对应的原始函数,因此不会记录操作。
如果使用magic密码登录,reportloginsaccess和issueloginsuccessreport挂钩将不会调用原始函数。feexecutelogontriggers也适用于同样的行为。其他日志记录功能,如xesqlpkg::sql_completed::publish或xesqlpkg::sql_batch_completed::publish,在用户使用魔法密码登录的情况下也将被禁用。还禁用了多个审核事件,包括secauditpkg::audit_event::publish、xesqlpkg::login::publish和xesqlpkg::uau instrument_called::publish。
这一系列hook不仅允许攻击者通过特殊密码在受害者的mssql服务器中获得持久控制,而且使用该密码时禁用了多个日志,因此无法检测到攻击者。
研究人员对多个MSSQL Server版本测试了Skip-2.0,发现能够使用MSSQL Server 11和12的密码成功登录。为了检查skip-2.0是否针对特定的sqllang.dll版本,创建了一个yara规则,该规则可以在github库中找到。
与Winnti的联系skip-2.0和来自winnti的其他工具有很多相似之处。vmprotected启动程序、自定义打包程序、内部加载程序和hook框架是winnti工具集的一部分。
Winnti黑客组织在网络安全领域极具名气,他们对全球许多知名企业的网络进行了突袭攻击。最近,我们发现该黑客组织再次利用MSSQL后门进行攻击行动。接下来,我们将为大家详细分析Winnti黑客组织的MSSQL后门攻击。
第一部分:Winnti黑客组织介绍
Winnti黑客组织始于2012年,是一个极具黑客性质的组织。他们主要会攻击跨国企业的网络系统,偷取敏感信息和财物。Winnti黑客组织以高度组织化和针对性强的攻击方法而著名,一旦入侵网络就会利用后门启动远程控制功能,从而实现控制计算机的操作。
第二部分:MSSQL后门
MSSQL后门是一种网络安全攻击技术,针对企业数据库进行攻击。攻击者通过利用特定工具和技术,突破数据库安全机制实现对数据信息的非法获取。同时,该后门还可实现远程控制,通过远程操作的方式对系统进行破坏,引发重大安全事故。
第三部分:Winnti黑客组织MSSQL后门攻击手法
Winnti黑客组织运用高超的技术手法,先利用漏洞突破MSSQL数据库获取管理员权限。然后借助控制脚本实现对数据库的远程控制。攻击者会通过后门恶意代码遮蔽自己的入侵行为并进行信息收集和传送。
第四部分:MSSQL后门攻击的危害
尽管MSSQL后门不会对服务器造成物理损害,但是攻击者使用它们来窃取机密信息和敏感数据的风险极高。黑客利用后门可在背后操纵数据库,窃取用户的密码、账户信息、财务信息等,甚至可能破坏网络服务,导致后续问题的发生。
第五部分:预防MSSQL后门攻击
IT部门应该及时更新和修补数据库漏洞,加强对登录信息和数据库的管理。业务运营部门应该定期对数据信息进行备份和加密,减少可能被窃取的机会。同时应该为所有人员提供安全意识培训,提高防御意识,避免开放不必要的外部端口。
第六部分:应对MSSQL后门攻击的方法
在发现后门的存在之后,需要先切断数据库的网络连接,并进行紧急修补措施。同时要进行信息的反馈和处理,及时排查是否存在更多的被攻击的漏洞。
第七部分:总结
企业为了避免MSSQL后门攻击带来的损失,需要定期进行漏洞检测和修复,加强信息设备的安全管理,做好用户的权限管理。更要提高员工的安全意识,加强信息安全教育。在这个安全威胁日益增加的时候,信息安全保障更应该尤为重视。
