ESET的研究人員近日發現黑客組織Winnti Group編寫的新惡意軟件，該惡意軟件用於在微軟SQL Server（MSSQL）系統上潛伏下來。攻擊者可以利用名為skip-2.0的新惡意工具，將後門植入到MSSQL Server 11和12服務器中，從而使他們能夠使用所謂的“魔法密碼”（magic password）連接到服務器上的任何帳戶，並隱藏活動、不被安全日誌發現。

ESET的研究員Mathieu Tartare說：“該後門使攻擊者不僅可以通過使用一個特殊密碼，在受害者的MSSQL Server上潛伏下來，還由於使用該密碼後禁用了多個日誌和事件發布機制，無法被檢測出來。”

Winnti Group的武器庫日益龐大

Winnti Group是個籠統的術語，它是指黑客組織（賽門鐵克追踪的Blackfly和Suckfly、CrowdStrike追踪的Wicked Panda、微軟追踪的BARIUM以及FireEye追踪的APT41），這些黑客組織共享自2011年前後以來就在使用的同一批惡意工具。

卡巴斯基在大量受感染的遊戲系統上發現了黑客的Winnti特洛伊木馬，這個木馬通過一款遊戲的官方更新服務器來傳播。

ESET的研究人員分析了這個新的後門後，還發現skip-2.0與其他Winnti Group惡意軟件、“尤其是PortReuse後門和ShadowPad後門”有著某些共同的特徵。

Winnti Group的攻擊手法和TTP（ESET）

WinReti黑客曾對一家知名的亞洲移動軟件和硬件製造商的服務器發動了攻擊，當時在攻擊中使用了PortReuse這個模塊化的Windows後門。

此外，PortReuse還是“一種網絡植入程序，它將自己注入到已經在偵聽網絡端口的進程中，等待隱蔽的入站數據包觸發惡意代碼。”

ShadowPad是該組織使用的另一個Winnti後門，曾在2017年用來發動攻擊供應鏈，那次攻擊影響了韓國網絡連接解決方案製造商NetSarang，當時這個黑客組織成功地用後門感染了該公司的服務器管理軟件。

這三個後門都使用同樣的VMProtected啟動器和該組織自行編寫的惡意軟件打包程序，而最重要的是，還跟與該威脅組織過去的攻擊行動有關的另外幾個工具有另外諸多相似之處。

MSSQL Server 11和12受到攻擊

一旦植入到已經中招的MSSQL服務器上，s​​kip-2.0後門會繼續通過sqllang.dll將其惡意代碼注入到sqlserv.exe進程中，通過鉤子（hook）把用於將身份驗證記入日誌的多個函數關聯起來。

這讓惡意軟件得以繞過服務器的內置身份驗證機制，那樣一來，即使攻擊者輸入的帳戶密碼不匹配，也允許他們登錄進去。

ESET說：“該函數的鉤子（hook）檢查用戶提供的密碼是否與魔法密碼匹配，在這種情況下，原始函數不會被調用，鉤子會返回0，即使沒有提供正確的密碼也允許連接。 ”

Tartare補充道：“我們針對多個MSSQL Server版本測試了skip-2.0，結果發現只有MSSQL Server 11和12存在使用特殊密碼就能夠成功登錄這種情況。”

Skip-2.0注入（ESET）

據ESET的研究人員從Censys獲得的數據顯示，雖然MSSQL Server 11和12不是最近發布的版本（分別在2012和2014年發布），但它們卻是最常見的版本。

ESET的研究小組總結道：“skip-2.0後門是Winnti Group武器庫中值得關注的新增武器，它與該組織已知臭名昭著的工具集有諸多相似之處，讓攻擊者得以在MSSQL Server上永久潛伏下來。”

“考慮到安裝鉤子需要管理員特權，必須在已經中招的MSSQL Server上使用skip-2.0，才能永久潛伏下來，並保持不被察覺。”