Maggie adlı güvenlik araştırmacıları tarafından Microsoft SQL sunucularını hedefleyen yeni bir tür kötü amaçlı yazılım keşfedildi. Dünyanın her yerinde, yüzlerce bilgisayara Maggie arka kapısı bulaşmış durumda.
Maggie, veritabanında yürütülen SQL sorguları tarafından kontrol edilir. Microsoft SQL server admin oturumları hacklenebilir ve sunucunun ağ ortamı ile köprü olarak çoğaltma yapılabilir.
Maggie’nin ısı haritası
DCSO CyTec’ten siber güvenlik analistleri Johann Aydınbas ve Axel Wauer, arka kapıyı keşfetmekten sorumluydu. Maggie, telemetri verilerine göre aşağıda listelenen ülkelerde daha sık tespit edilmiştir:-
- Güney Kore
- Hindistan
- Vietnam
- Çin
- Rusya
- Tayland
- Almanya
- Birleşik Devletler
Maggie’nin başarılı bir şekilde çalışması için, Güney Koreli bir şirket olan DEEPSoft Co. Ltd. tarafından imzalanmış bir Genişletilmiş Saklı Yordam imzasını destekleyen bir DLL uzantısı olarak kendini gösterebilir.
Maggie tarafından kullanılan komutlar
Bir API ile, SQL sorguları çalıştırırken daha fazla işlevsellik sağlamak için genişletilmiş saklı yordamlar geliştirilebilir. Bu API şunları kabul ederken: –
- Uzak kullanıcı bağımsız değişkenleri
- Yapılandırılmamış verilerle yanıt verir
51 komut dizisi ile arka kapıya uzaktan erişim mümkündür. Ve aşağıdaki resimde, tüm bu 51 komutu görebilirsiniz: –
Maggie, aşağıdakiler gibi komutların yardımıyla çok çeşitli eylemler gerçekleştirebilir: –
- Sistem hakkında bilgi talep edilebilir.
- Programları çalıştırın veya yürütün.
- Sabit kodlu bir arka kapı operatörü hesabı ekleyin.
- Dosya ve klasörlere erişilebilir ve etkileşimde bulunulabilir.
- Bağlantı noktası yönlendirmeyi ayarlayın.
- Uzak Masaüstü Hizmetlerini etkinleştirir.
- Bir yönetici şifresi seçin.
- SOCKS5 proxy, tüm ağ paketlerini yönlendirmek için kullanılabilir ve böylece arka kapıyı görünmez yaparak algılamayı zorlaştırır.
Maggie, saldırganların bu komutlara argüman ekleyebildiği durumlarda, bu desteklenen argümanlardan bazıları için kullanım talimatları bile sunar.
Komut listesine ayrıca toplam dört Exploit komutu dahil edilmiştir. Bu, yeni bir kullanıcı eklemek gibi belirli eylemlerin, saldırgan tarafından gerçekleştirilecek bilinen güvenlik açıklarına bağlı olabileceğinin açık bir göstergesidir.
Bir parola listesi dosyası ve bir iş parçacığı sayısı belirledikten sonra, aşağıdaki komutlar yürütülerek yönetici parolalarına kaba kuvvet saldırısı gerçekleştirilir: –
Ağ Köprüsü
Kötü amaçlı yazılım tarafından bir TCP yeniden yönlendirme özelliği de sağlanır. Etkilenen MS-SQL sunucusuna, saldırgan tarafından erişilebilen herhangi bir IP adresinden uzaktan erişilebilir.
Bu özellik sistemde etkinleştirilmişse, Maggie gelen tüm bağlantıları belirtilen IP adresine ve bağlantı noktasına yönlendirecektir. Şu anda, henüz bilinmeyen bazı bilgiler var, örneğin: –
- Bu saldırının arkasındaki operatörler
- Maggie enfeksiyondan sonra nasıl kullanılır?
- Sunuculara nasıl enjekte edilir?
En önemlisi, tehdidin araştırmacılar tarafından zaten tanımlanmış olması ve IOC’lerin paylaşılmış olmasıdır. Ancak siber güvenlik uzmanları, yukarıda belirtilen soruların cevaplarını bulmak için araştırmalarına devam edeceklerini doğruladılar.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap