Si chiama Skip-2.0 il nuovo malware con funzionalità backdoor specificamente progettato per attaccare i database relazionali Microsoft SQL Server 11 e 12: due versioni non recentissime ma molto diffuse, il che aumenta di molto la pericolosità di questa nuova minaccia.
Sviluppato dal gruppo criminale cinese Winnti e scoperto dai ricercatori di ESET Security, Skip-2.0 consente agli attaccanti di ottenere un accesso persistente al DBMS (DataBase Management System) e prenderne il controllo da remoto.
In questo modo, i criminal hacker riescono ad eseguire qualsiasi azione sul contenuto della base di dati compromessa, come copiare, modificare o cancellare furtivamente il contenuto dell’intero database.
Indice degli argomenti
Skip-2.0: tutti i dettagli tecnici del malware
Skip-2.0 è uno strumento malevolo di tipo “post-exploitation” che consente ai criminal hacker di controllare un sistema già compromesso accedendo a qualsiasi account sul server mediante l’utilizzo di una “password magica”.
Il malware, inoltre, è in grado di nascondersi ai sistemi di sicurezza grazie alla capacità di disabilitare tutte le funzioni di logging e il registro eventi della macchina compromessa ogni qualvolta viene utilizzata questa particolare password di accesso.
I ricercatori di ESET hanno inoltre individuato molte altre somiglianze tra Skip-2.0 e altri strumenti dell’arsenale malevolo del gruppo Winnti. Ad esempio, anche il nuovo malware ha il launcher protetto mediante VMprotected e utilizza la libreria Inner-Loader.dll per iniettare nella macchina compromessa il payload malevolo protetto a sua volta mediante l’algoritmo di cifratura a blocchi RC5.
Una volta scaricata, la libreria Inner-Loader avvia una procedura di ricerca del processo sqlserv.exe per iniettarvi il payload del malware. Dopo essere stato iniettato ed eseguito da Inner-Loader, Skip-2.0 verifica innanzitutto di essere effettivamente in esecuzione all’interno del processo sqlserv.exe, quindi procede a compromettere altre funzioni del server.
In particolare, Skip-2.0 “aggancia” il file sqllang.dll e altera tutte le funzioni relative all’autenticazione e alla registrazione degli eventi, in modo da garantirsi la persistenza e l’invisibilità sulla macchina compromessa.
Come riconoscere la minaccia
I ricercatori di ESET Security hanno pubblicato gli indici di compromissione (IoC) di Skip-2.0 per aiutare i responsabili della sicurezza IT delle aziende a identificare l’eventuale presenza del malware e delle sue componenti malevoli sulle macchine SQL Server:
| Componente | Chiave SHA-1 | Nome identificativo |
| VMP Loader |
| Win64/Packed.VMProtect.HX |
| Inner-Loader injector | A2571946AB181657EB825CDE07188E8BCD689575 | Win64/Injector.BS |
| Skip-2.0 | 60B9428D00BE5CE562FF3D888441220290A6DAC7 | Win32/Agent.SOK |
