Un groupe de cyberespionnage notoire rabaisse MSSQL
"},{"id":"text-2","type":"text","heading":"","plain_text":"Les chercheurs d'ESET suivent depuis un certain temps les activités du groupe Winnti, actif depuis au moins 2012 et responsable d'attaques de grande envergure de la chaîne logistique contre l'industrie du jeu vidéo et des logiciels. Récemment, nous avons découvert une porte dérobée non documentée ciblant Microsoft SQL (MSSQL) qui permettait aux attaquants de conserver un pied très discret au sein d’organisations compromises. Cette porte dérobée présente de nombreuses similitudes avec le PortReuse backdoor, autre outil utilisé par le groupe Winnti et documenté pour la première fois par ESET en octobre 2019, tel que l'utilisation du même programme de personnalisation et du même programme de lancement VMProtected. C'est pourquoi nous attribuons cette porte dérobée au groupe Winnti.\nPlus tôt cette année, nous avons reçu un échantillon de cette nouvelle porte dérobée appelée skip-2.0 par ses auteurs et une partie de l’arsenal du groupe Winnti. Cette porte dérobée cible MSSQL Server 11 et 12, permettant à l’attaquant de se connecter furtivement à n’importe quel compte MSSQL à l’aide d’un mot de passe magique, tout en masquant automatiquement ces connexions dans les journaux. Une telle porte dérobée pourrait permettre à un attaquant de copier, modifier ou supprimer furtivement le contenu de la base de données. Cela pourrait être utilisé, par exemple, pour manipuler des devises dans le jeu pour un gain financier. Des manipulations de bases de données de devises dans le jeu par des opérateurs de Winnti ont déjà été signalées. Au meilleur de notre connaissance, skip-2.0 est la première porte dérobée du serveur MSSQL à être documentée publiquement. Notez que, même si MSSQL Server 11 et 12 ne sont pas les versions les plus récentes (publiées en 2012 et 2014, respectivement), ce sont les plus couramment utilisées, selon les données de Censys.\nNous avons récemment publié un livre blanc mettant à jour notre compréhension de l’arsenal du groupe Winnti et exposant une de leurs portes secrètes, jusque-là non documentée. PortReuse. Il utilise un packer identique à celui utilisé avec la charge intégrée dans les jeux vidéo compromis découverts par ESET en mars 2019. Le lanceur VMProtected qui laisse tomber le PortReuse porte dérobée a également été trouvée en train d’être utilisée pour lancer ShadowPad versions. Dans ce contexte, nous avons pu trouver un nouvel outil appelé skip.2-0 par son développeur. Il utilise le même lanceur VMProtected ainsi que l’emballeur personnalisé du groupe Winnti et présente de nombreuses similitudes avec d’autres échantillons des outils du groupe Winnti. Cela nous amène à attribuer skip-2.0 à cet ensemble d'outils également.\nCet article porte sur les détails techniques et les fonctionnalités de cette porte dérobée MSSQL Server, ainsi que sur les similitudes techniques entre skip.2-0 l’arsenal connu du groupe Winnti – en particulier avec le PortReuse porte dérobée et ShadowPad. Vous trouverez une note sur les raisons pour lesquelles nous avons choisi la dénomination «Groupe Winnti» sur notre livre blanc.\nLanceur VMProtected\nNous avons trouvé skip-2.0 recherche de lanceurs VMProtected, pour lesquels la charge utile est généralement soit PortReuse ou ShadowPad.\nCharge utile intégrée\nComme avec le crypté PortReuse et ShadowPad charges utiles, sautez-2.0 est intégré dans la superposition du lanceur VMProtected, comme illustré dans la figure 1:","html":"Les chercheurs d'ESET suivent depuis un certain temps les activités du groupe Winnti, actif depuis au moins 2012 et responsable d'attaques de grande envergure de la chaîne logistique contre l'industrie du jeu vidéo et des logiciels. Récemment, nous avons découvert une porte dérobée non documentée ciblant Microsoft SQL (MSSQL) qui permettait aux attaquants de conserver un pied très discret au sein d’organisations compromises. Cette porte dérobée présente de nombreuses similitudes avec le PortReuse backdoor, autre outil utilisé par le groupe Winnti et documenté pour la première fois par ESET en octobre 2019, tel que l'utilisation du même programme de personnalisation et du même programme de lancement VMProtected. C'est pourquoi nous attribuons cette porte dérobée au groupe Winnti.\nPlus tôt cette année, nous avons reçu un échantillon de cette nouvelle porte dérobée appelée skip-2.0 par ses auteurs et une partie de l’arsenal du groupe Winnti. Cette porte dérobée cible MSSQL Server 11 et 12, permettant à l’attaquant de se connecter furtivement à n’importe quel compte MSSQL à l’aide d’un mot de passe magique, tout en masquant automatiquement ces connexions dans les journaux. Une telle porte dérobée pourrait permettre à un attaquant de copier, modifier ou supprimer furtivement le contenu de la base de données. Cela pourrait être utilisé, par exemple, pour manipuler des devises dans le jeu pour un gain financier. Des manipulations de bases de données de devises dans le jeu par des opérateurs de Winnti ont déjà été signalées. Au meilleur de notre connaissance, skip-2.0 est la première porte dérobée du serveur MSSQL à être documentée publiquement. Notez que, même si MSSQL Server 11 et 12 ne sont pas les versions les plus récentes (publiées en 2012 et 2014, respectivement), ce sont les plus couramment utilisées, selon les données de Censys.\nNous avons récemment publié un livre blanc mettant à jour notre compréhension de l’arsenal du groupe Winnti et exposant une de leurs portes secrètes, jusque-là non documentée. PortReuse. Il utilise un packer identique à celui utilisé avec la charge intégrée dans les jeux vidéo compromis découverts par ESET en mars 2019. Le lanceur VMProtected qui laisse tomber le PortReuse porte dérobée a également été trouvée en train d’être utilisée pour lancer ShadowPad versions. Dans ce contexte, nous avons pu trouver un nouvel outil appelé skip.2-0 par son développeur. Il utilise le même lanceur VMProtected ainsi que l’emballeur personnalisé du groupe Winnti et présente de nombreuses similitudes avec d’autres échantillons des outils du groupe Winnti. Cela nous amène à attribuer skip-2.0 à cet ensemble d'outils également.\nCet article porte sur les détails techniques et les fonctionnalités de cette porte dérobée MSSQL Server, ainsi que sur les similitudes techniques entre skip.2-0 l’arsenal connu du groupe Winnti – en particulier avec le PortReuse porte dérobée et ShadowPad. Vous trouverez une note sur les raisons pour lesquelles nous avons choisi la dénomination «Groupe Winnti» sur notre livre blanc.\nLanceur VMProtected\nNous avons trouvé skip-2.0 recherche de lanceurs VMProtected, pour lesquels la charge utile est généralement soit PortReuse ou ShadowPad.\nCharge utile intégrée\nComme avec le crypté PortReuse et ShadowPad charges utiles, sautez-2.0 est intégré dans la superposition du lanceur VMProtected, comme illustré dans la figure 1:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Figure 1. En-têtes du lanceur VMProtected. La charge utile est intégrée à la superposition PE.","html":"Figure 1. En-têtes du lanceur VMProtected. La charge utile est intégrée à la superposition PE.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Cryptage\nLe chiffrement de la charge utile est identique à celui utilisé dans les autres lanceurs VMProtected. Il est crypté avec RC5 avec une clé dérivée du VolumeID et la ficelle f @ Ukd! rCto R $. – comme décrit dans notre précédent livre blanc sur l'arsenal du groupe Winnti.\nPersistance\nComme dans le cas de PortReuse et ShadowPad, le lanceur persiste probablement en exploitant une vulnérabilité de piratage de DLL en étant installé à C: Windows System32 TSVIPSrv.DLL. Cela entraîne le chargement de la DLL par le Windows standard SessionEnv service au démarrage du système.\nEmballeur personnalisé du groupe Winnti\nUne fois déchiffré, la charge intégrée est en fait l’emballeur personnalisé de Winnti Group. Ce packer est le même shellcode que celui décrit dans notre précédent article et notre livre blanc. Il est utilisé pour emballer le PortReuse porte dérobée ainsi que la charge utile intégrée aux jeux vidéo compromis.\nConfiguration du packer\nComme décrit dans notre article précédent, la configuration du programme de compression contient la clé de déchiffrement du fichier binaire compressé, ainsi que son nom de fichier d'origine, sa taille et le type d'exécution (EXE ou DLL). La configuration de l’emballeur de la charge utile est indiquée dans le tableau 1.","html":"Cryptage\nLe chiffrement de la charge utile est identique à celui utilisé dans les autres lanceurs VMProtected. Il est crypté avec RC5 avec une clé dérivée du VolumeID et la ficelle f @ Ukd! rCto R $. – comme décrit dans notre précédent livre blanc sur l'arsenal du groupe Winnti.\nPersistance\nComme dans le cas de PortReuse et ShadowPad, le lanceur persiste probablement en exploitant une vulnérabilité de piratage de DLL en étant installé à C: Windows System32 TSVIPSrv.DLL. Cela entraîne le chargement de la DLL par le Windows standard SessionEnv service au démarrage du système.\nEmballeur personnalisé du groupe Winnti\nUne fois déchiffré, la charge intégrée est en fait l’emballeur personnalisé de Winnti Group. Ce packer est le même shellcode que celui décrit dans notre précédent article et notre livre blanc. Il est utilisé pour emballer le PortReuse porte dérobée ainsi que la charge utile intégrée aux jeux vidéo compromis.\nConfiguration du packer\nComme décrit dans notre article précédent, la configuration du programme de compression contient la clé de déchiffrement du fichier binaire compressé, ainsi que son nom de fichier d'origine, sa taille et le type d'exécution (EXE ou DLL). La configuration de l’emballeur de la charge utile est indiquée dans le tableau 1.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Parent SHA-1\nCharge utile SHA-1\nClé RC4\nNom de fichier\nType de lancement","html":"Parent SHA-1\nCharge utile SHA-1\nClé RC4\nNom de fichier\nType de lancement
"},{"id":"text-6","type":"text","heading":"","plain_text":"9aafe81d07b3e5bb282608f0a2a4656eb485b7c9\na2571946ab181657eb825cde07188e8bcd689575\n163716559\nInner-Loader.dll\n2","html":"9aafe81d07b3e5bb282608f0a2a4656eb485b7c9\na2571946ab181657eb825cde07188e8bcd689575\n163716559\nInner-Loader.dll\n2
"},{"id":"text-7","type":"text","heading":"","plain_text":"Tableau 1. Configuration du packer de Payload\nLa configuration de l’emballeur indique que la charge utile est appelée Chargeur interne. Chargeur interne est le nom d’un injecteur qui fait partie de l’arsenal du groupe Winnti utilisé pour injecter le PortReuse porte dérobée dans les processus d'écoute sur un port particulier, comme décrit dans notre publication précédente. Au-delà de ce nom identique, il apparaît en analysant cette charge utile qu’il s’agit d’une autre variante du Chargeur interne injecteur.\nInjecteur à chargement interne\nCette variante de Chargeur interne, au lieu de rechercher un processus d’écoute sur un port particulier, comme dans le cas de l’injection du PortReuse porte dérobée, recherche un processus appelé sqlserv.exe, qui est le nom de processus conventionnel de MSSQL Server. Si trouvé, Chargeur interne puis injecte une charge utile dans ce processus. Cette charge est également fournie avec l’emballeur personnalisé. La configuration de l’emballeur de cette charge est indiquée dans le tableau 2.","html":"Tableau 1. Configuration du packer de Payload\nLa configuration de l’emballeur indique que la charge utile est appelée Chargeur interne. Chargeur interne est le nom d’un injecteur qui fait partie de l’arsenal du groupe Winnti utilisé pour injecter le PortReuse porte dérobée dans les processus d'écoute sur un port particulier, comme décrit dans notre publication précédente. Au-delà de ce nom identique, il apparaît en analysant cette charge utile qu’il s’agit d’une autre variante du Chargeur interne injecteur.\nInjecteur à chargement interne\nCette variante de Chargeur interne, au lieu de rechercher un processus d’écoute sur un port particulier, comme dans le cas de l’injection du PortReuse porte dérobée, recherche un processus appelé sqlserv.exe, qui est le nom de processus conventionnel de MSSQL Server. Si trouvé, Chargeur interne puis injecte une charge utile dans ce processus. Cette charge est également fournie avec l’emballeur personnalisé. La configuration de l’emballeur de cette charge est indiquée dans le tableau 2.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Parent SHA-1\nCharge utile SHA-1 \nClé RC4\nNom de fichier\nType de lancement","html":"Parent SHA-1\nCharge utile SHA-1 \nClé RC4\nNom de fichier\nType de lancement
"},{"id":"text-9","type":"text","heading":"","plain_text":"a2571946ab181657eb825cde07188e8bcd689575\n60b9428d00be5ce562ff3d888441220290a6dac7\n923567961\nskip-2.0.dll\n2","html":"a2571946ab181657eb825cde07188e8bcd689575\n60b9428d00be5ce562ff3d888441220290a6dac7\n923567961\nskip-2.0.dll\n2
"},{"id":"text-10","type":"text","heading":"","plain_text":"Tableau 2. Configuration du packer de la charge utile intégrée à Inner-Loader\nLe nom de fichier original de cette charge utile injectée est skip-2.0.dll.\nskip-2.0\nAprès avoir été injecté et lancé par Chargeur interne, sauter-2.0 vérifie d’abord si elle s’exécute dans un sqlserv.exe processus et si oui, récupère une poignée pour sqllang.dll, qui est chargé par sqlserv.exe. Il recherche ensuite et accroche plusieurs fonctions à partir de cette DLL. La figure 2 illustre le skip-2.0 chaîne de compromis.","html":"Tableau 2. Configuration du packer de la charge utile intégrée à Inner-Loader\nLe nom de fichier original de cette charge utile injectée est skip-2.0.dll.\nskip-2.0\nAprès avoir été injecté et lancé par Chargeur interne, sauter-2.0 vérifie d’abord si elle s’exécute dans un sqlserv.exe processus et si oui, récupère une poignée pour sqllang.dll, qui est chargé par sqlserv.exe. Il recherche ensuite et accroche plusieurs fonctions à partir de cette DLL. La figure 2 illustre le skip-2.0 chaîne de compromis.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Figure 2. Déballage et injection skip-2.0","html":"Figure 2. Déballage et injection skip-2.0
"},{"id":"text-12","type":"text","heading":"","plain_text":"Accrochage sqllang.dll\nLa procédure d’accrochage utilisée par skip-2.0 est très similaire à celle utilisée par NetAgent, le PortReuse module responsable de l’installation du hook réseau. Cette bibliothèque de hook est basée sur le désassembleur Open Source distorm utilisé par plusieurs infrastructures de hook Open Source. En particulier, une bibliothèque de désassemblage est nécessaire pour calculer correctement la taille des instructions à accrocher. On peut voir sur la figure 3 que la procédure d’accrochage utilisée par NetAgent et skip-2.0 sont presque identiques.","html":"Accrochage sqllang.dll\nLa procédure d’accrochage utilisée par skip-2.0 est très similaire à celle utilisée par NetAgent, le PortReuse module responsable de l’installation du hook réseau. Cette bibliothèque de hook est basée sur le désassembleur Open Source distorm utilisé par plusieurs infrastructures de hook Open Source. En particulier, une bibliothèque de désassemblage est nécessaire pour calculer correctement la taille des instructions à accrocher. On peut voir sur la figure 3 que la procédure d’accrochage utilisée par NetAgent et skip-2.0 sont presque identiques.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Figure 3. Comparaison de la production de rayons Hex-Ray entre les procédures de raccordement NetAgent (à gauche) et skip-2.0 (à droite)","html":"Figure 3. Comparaison de la production de rayons Hex-Ray entre les procédures de raccordement NetAgent (à gauche) et skip-2.0 (à droite)
"},{"id":"text-14","type":"text","heading":"","plain_text":"Il existe une différence notable, à savoir le fait que la fonction d’accrochage de skip-2.0 prend l'adresse du crochet à installer comme argument, alors que pour NetAgent, l'adresse du crochet à installer est codée en dur. Ceci est dû au fait que skip-2.0 doit accrocher plusieurs fonctions dans sqllang.dll pour fonctionner correctement, tout en NetAgent ne cible qu'une seule fonction.\nPour localiser chacun sqllang.dll fonction à accrocher, skip-2.0 récupère d’abord la taille de la DLL une fois chargée en mémoire (c’est-à-dire sa taille virtuelle) en analysant ses en-têtes PE. Ensuite, un tableau d'octets à faire correspondre dans sqllang.dll est initialisé comme indiqué dans la figure 4. Une fois que l'adresse de la première occurrence correspondant au tableau d'octets est trouvée, le hook est installé à l'aide de la procédure indiquée dans la figure 3.","html":"Il existe une différence notable, à savoir le fait que la fonction d’accrochage de skip-2.0 prend l'adresse du crochet à installer comme argument, alors que pour NetAgent, l'adresse du crochet à installer est codée en dur. Ceci est dû au fait que skip-2.0 doit accrocher plusieurs fonctions dans sqllang.dll pour fonctionner correctement, tout en NetAgent ne cible qu'une seule fonction.\nPour localiser chacun sqllang.dll fonction à accrocher, skip-2.0 récupère d’abord la taille de la DLL une fois chargée en mémoire (c’est-à-dire sa taille virtuelle) en analysant ses en-têtes PE. Ensuite, un tableau d'octets à faire correspondre dans sqllang.dll est initialisé comme indiqué dans la figure 4. Une fois que l'adresse de la première occurrence correspondant au tableau d'octets est trouvée, le hook est installé à l'aide de la procédure indiquée dans la figure 3.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Figure 4. Sortie Hex-Rays de la procédure initialisant le tableau d'octets pour correspondre à sqllang.dll","html":"Figure 4. Sortie Hex-Rays de la procédure initialisant le tableau d'octets pour correspondre à sqllang.dll
"},{"id":"text-16","type":"text","heading":"","plain_text":"La réussite de l’installation du hook est ensuite consignée en cleartext dans un fichier journal situé sur le chemin codé en dur. C: Windows Temp TS_2CE1.tmp et montré à la figure 5.","html":"La réussite de l’installation du hook est ensuite consignée en cleartext dans un fichier journal situé sur le chemin codé en dur. C: Windows Temp TS_2CE1.tmp et montré à la figure 5.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Figure 5. Journal généré lors de l'installation des points d'ancrage","html":"Figure 5. Journal généré lors de l'installation des points d'ancrage
"},{"id":"text-18","type":"text","heading":"","plain_text":"Si la fonction ciblée n'est pas trouvée, le programme d'installation de points d'ancrage recherche une fonction de secours, avec un ensemble différent de motifs d'octet.\nFaire correspondre une séquence d'octets pour localiser l'adresse de la fonction ciblée au lieu d'utiliser un décalage statique, plus d'utiliser une séquence d'octets de secours, permet skip-2.0 être plus résilient aux mises à jour MSSQL et potentiellement cibler plusieurs sqllang.dll mises à jour.\nUn mot de passe pour les gouverner tous\nLes fonctions visées par skip-2.0 sont liés à l'authentification et à la journalisation des événements. Les fonctions visées incluent:","html":"Si la fonction ciblée n'est pas trouvée, le programme d'installation de points d'ancrage recherche une fonction de secours, avec un ensemble différent de motifs d'octet.\nFaire correspondre une séquence d'octets pour localiser l'adresse de la fonction ciblée au lieu d'utiliser un décalage statique, plus d'utiliser une séquence d'octets de secours, permet skip-2.0 être plus résilient aux mises à jour MSSQL et potentiellement cibler plusieurs sqllang.dll mises à jour.\nUn mot de passe pour les gouverner tous\nLes fonctions visées par skip-2.0 sont liés à l'authentification et à la journalisation des événements. Les fonctions visées incluent:
"},{"id":"text-19","type":"text","heading":"","plain_text":"CPwdPolicyManager :: ValidatePwdForLogin\nCSECAuthenticate :: AuthenticateLoginIdentity\nReportLoginSuccess\nIssueLoginSuccessReport\nFExecuteLogonTriggers\nXeSqlPkg :: sql_statement_completed :: Publish\nXeSqlPkg :: sql_batch_completed :: Publish\nSecAuditPkg :: audit_event :: Publish\nXeSqlPkg :: login :: Publier\nXeSqlPkg :: ual_instrument_called :: Publish","html":"CPwdPolicyManager :: ValidatePwdForLogin\nCSECAuthenticate :: AuthenticateLoginIdentity\nReportLoginSuccess\nIssueLoginSuccessReport\nFExecuteLogonTriggers\nXeSqlPkg :: sql_statement_completed :: Publish\nXeSqlPkg :: sql_batch_completed :: Publish\nSecAuditPkg :: audit_event :: Publish\nXeSqlPkg :: login :: Publier\nXeSqlPkg :: ual_instrument_called :: Publish
"},{"id":"text-20","type":"text","heading":"","plain_text":"La fonction la plus intéressante est la première (CPwdPolicyManager :: ValidatePwdForLogin), qui est responsable de la validation du mot de passe fourni pour un utilisateur donné. Le crochet de cette fonction vérifie si le mot de passe fourni par l’utilisateur correspond au mot de passe magique; Si tel est le cas, la fonction d'origine ne sera pas appelée et le hook renverra 0, permettant ainsi la connexion même si le mot de passe correct n'a pas été fourni. Un indicateur global est ensuite défini et sera vérifié par les autres fonctions raccordées responsables de la journalisation des événements. La procédure décompilée correspondante est illustrée à la figure 6. Dans le cas où cet indicateur global est défini, les fonctions de consignation raccordées retourneront en mode silencieux sans appeler leurs fonctions d'origine correspondantes, de sorte que l'action ne sera pas consignée. Dans le cas où un mot de passe différent est fourni, la fonction d'origine est appelée.","html":"La fonction la plus intéressante est la première (CPwdPolicyManager :: ValidatePwdForLogin), qui est responsable de la validation du mot de passe fourni pour un utilisateur donné. Le crochet de cette fonction vérifie si le mot de passe fourni par l’utilisateur correspond au mot de passe magique; Si tel est le cas, la fonction d'origine ne sera pas appelée et le hook renverra 0, permettant ainsi la connexion même si le mot de passe correct n'a pas été fourni. Un indicateur global est ensuite défini et sera vérifié par les autres fonctions raccordées responsables de la journalisation des événements. La procédure décompilée correspondante est illustrée à la figure 6. Dans le cas où cet indicateur global est défini, les fonctions de consignation raccordées retourneront en mode silencieux sans appeler leurs fonctions d'origine correspondantes, de sorte que l'action ne sera pas consignée. Dans le cas où un mot de passe différent est fourni, la fonction d'origine est appelée.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Figure 6. Sortie Hex-Rays de la procédure chargée de la correspondance du mot de passe fourni lors de la connexion avec la chaîne codée en dur","html":"Figure 6. Sortie Hex-Rays de la procédure chargée de la correspondance du mot de passe fourni lors de la connexion avec la chaîne codée en dur
"},{"id":"text-22","type":"text","heading":"","plain_text":"Une technique de backdooring similaire, basée sur des mots de passe codés en dur, a été utilisée avec les backdoors SSH précédemment découverts par ESET. La différence ici est que skip-2.0 est installé en mémoire, tandis que dans le cas des portes dérobées SSH, la sshd l'exécutable a été modifié avant l'exécution.\nAditionellement, CSECAuthenticate :: AuthenticateLoginIdentity sera appelé à partir de son code de crochet mais le crochet retournera toujours 0. Le ReportLoginSucess et IssueLoginSuccessReport Les hooks n'appelleront pas les fonctions d'origine si le mot de passe magique a été utilisé pour se connecter. Le même comportement est appliqué à FEExecuteLogonTriggers. Autres fonctions de journalisation telles que XeSqlPkg :: sql_statement_completed :: Publish ou XeSqlPkg :: sql_batch_completed :: Publish sera également désactivé dans le cas où l'utilisateur s'est connecté avec le mot de passe magique. Plusieurs événements d'audit sont également désactivés, notamment: SecAuditPkg :: audit_event :: Publish, XeSqlPkg :: login :: Publier et XeSqlPkg :: ual_instrument_called :: Publish.\nCette série de points d'ancrage permet non seulement à l'attaquant de conserver sa persistance dans le serveur MSSQL de la victime grâce à l'utilisation d'un mot de passe spécifique, mais également de rester non détecté grâce aux multiples mécanismes de publication des journaux et des événements désactivés lors de l'utilisation de ce mot de passe.\nNous avons testé skip-2.0 contre plusieurs versions de MSSQL Server et nous avons constaté que nous pouvions nous connecter avec le mot de passe spécial avec MSSQL Server 11 et 12. Pour vérifier si un sqllang.dll la version est ciblée par skip-2.0 (c’est-à-dire qui correspond aux modèles d’octets), nous avons créé une règle YARA, qui peut être trouvée dans notre référentiel GitHub.\nConnexion avec le groupe Winnti\nNous avons observé de multiples similitudes entre skip-2.0 et d’autres outils de l’arsenal du groupe Winnti. Son lanceur VMProtected, emballeur personnalisé, Chargeur interne L'injecteur et le cadre d'accrochage font partie des outils déjà connus du groupe Winnti. Cela nous amène à penser que skip-2.0 fait également partie de cet ensemble d'outils.\nConclusion\nle skip-2.0 backdoor est un ajout intéressant à l’arsenal du groupe Winnti, car il partage de nombreuses similitudes avec les outils déjà connus du groupe et permet à l’attaquant d’obtenir de la persistance sur un serveur MSSQL. Considérant que des privilèges d’administration sont requis pour l’installation des hooks, skip-2.0 doit être utilisé sur des serveurs MSSQL déjà compromis pour assurer la persistance et la furtivité.\nNous continuerons de surveiller les nouvelles activités du groupe Winnti et publierons des informations pertinentes sur notre blog. Pour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com.\nIndicateurs de compromis (IoC)","html":"Une technique de backdooring similaire, basée sur des mots de passe codés en dur, a été utilisée avec les backdoors SSH précédemment découverts par ESET. La différence ici est que skip-2.0 est installé en mémoire, tandis que dans le cas des portes dérobées SSH, la sshd l'exécutable a été modifié avant l'exécution.\nAditionellement, CSECAuthenticate :: AuthenticateLoginIdentity sera appelé à partir de son code de crochet mais le crochet retournera toujours 0. Le ReportLoginSucess et IssueLoginSuccessReport Les hooks n'appelleront pas les fonctions d'origine si le mot de passe magique a été utilisé pour se connecter. Le même comportement est appliqué à FEExecuteLogonTriggers. Autres fonctions de journalisation telles que XeSqlPkg :: sql_statement_completed :: Publish ou XeSqlPkg :: sql_batch_completed :: Publish sera également désactivé dans le cas où l'utilisateur s'est connecté avec le mot de passe magique. Plusieurs événements d'audit sont également désactivés, notamment: SecAuditPkg :: audit_event :: Publish, XeSqlPkg :: login :: Publier et XeSqlPkg :: ual_instrument_called :: Publish.\nCette série de points d'ancrage permet non seulement à l'attaquant de conserver sa persistance dans le serveur MSSQL de la victime grâce à l'utilisation d'un mot de passe spécifique, mais également de rester non détecté grâce aux multiples mécanismes de publication des journaux et des événements désactivés lors de l'utilisation de ce mot de passe.\nNous avons testé skip-2.0 contre plusieurs versions de MSSQL Server et nous avons constaté que nous pouvions nous connecter avec le mot de passe spécial avec MSSQL Server 11 et 12. Pour vérifier si un sqllang.dll la version est ciblée par skip-2.0 (c’est-à-dire qui correspond aux modèles d’octets), nous avons créé une règle YARA, qui peut être trouvée dans notre référentiel GitHub.\nConnexion avec le groupe Winnti\nNous avons observé de multiples similitudes entre skip-2.0 et d’autres outils de l’arsenal du groupe Winnti. Son lanceur VMProtected, emballeur personnalisé, Chargeur interne L'injecteur et le cadre d'accrochage font partie des outils déjà connus du groupe Winnti. Cela nous amène à penser que skip-2.0 fait également partie de cet ensemble d'outils.\nConclusion\nle skip-2.0 backdoor est un ajout intéressant à l’arsenal du groupe Winnti, car il partage de nombreuses similitudes avec les outils déjà connus du groupe et permet à l’attaquant d’obtenir de la persistance sur un serveur MSSQL. Considérant que des privilèges d’administration sont requis pour l’installation des hooks, skip-2.0 doit être utilisé sur des serveurs MSSQL déjà compromis pour assurer la persistance et la furtivité.\nNous continuerons de surveiller les nouvelles activités du groupe Winnti et publierons des informations pertinentes sur notre blog. Pour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com.\nIndicateurs de compromis (IoC)
"},{"id":"text-23","type":"text","heading":"","plain_text":"Composant\nSHA-1\nNom de détection ESET","html":"Composant\nSHA-1\nNom de détection ESET
"},{"id":"text-24","type":"text","heading":"","plain_text":"Chargeur VMP\n18E4FEB988CB95D71D81E1964AA6280E22361B9F4AF89296A15C1EA9068A279E05CC4A41B967C956\nWin64 / Packed.VMProtect.HX","html":"Chargeur VMP\n18E4FEB988CB95D71D81E1964AA6280E22361B9F4AF89296A15C1EA9068A279E05CC4A41B967C956\nWin64 / Packed.VMProtect.HX
"},{"id":"text-25","type":"text","heading":"","plain_text":"Injecteur à chargement interne\nA2571946AB181657EB825CDE07188E8BCD689575\nWin64 / Injector.BS","html":"Injecteur à chargement interne\nA2571946AB181657EB825CDE07188E8BCD689575\nWin64 / Injector.BS
"},{"id":"text-26","type":"text","heading":"","plain_text":"skip-2.0\n60B9428D00BE5CE562FF3D888441220290A6DAC7\nWin32 / Agent.SOK","html":"skip-2.0\n60B9428D00BE5CE562FF3D888441220290A6DAC7\nWin32 / Agent.SOK
"},{"id":"text-27","type":"text","heading":"","plain_text":"Connu ciblé sqllang.dll fichiers (liste non exhaustive)\n4396D3C904CD340984D474065959E8DD11915444BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64ED4ADBC3F77ADE63B836FC4D9E5915A3479F09BD40BBD3321F93F3DCDD2A332D1F0326142B3F4961AFAE6B48F1D6EDDEC79E62844C444FE3955411EE3 A25B25FFA17E63C6884E28E96B487F58DF4502E7DE76419331381C390A758E634BF2E165A42D4807ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A21E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A59FB000D36612950FEBC36004F1317F7D000AA0B661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63\nN / A","html":"Connu ciblé sqllang.dll fichiers (liste non exhaustive)\n4396D3C904CD340984D474065959E8DD11915444BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64ED4ADBC3F77ADE63B836FC4D9E5915A3479F09BD40BBD3321F93F3DCDD2A332D1F0326142B3F4961AFAE6B48F1D6EDDEC79E62844C444FE3955411EE3 A25B25FFA17E63C6884E28E96B487F58DF4502E7DE76419331381C390A758E634BF2E165A42D4807ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A21E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A59FB000D36612950FEBC36004F1317F7D000AA0B661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63\nN / A
"},{"id":"text-28","type":"text","heading":"","plain_text":"Techniques MITRE ATT & CK","html":"Techniques MITRE ATT & CK
"},{"id":"text-29","type":"text","heading":"","plain_text":"Tactique\nID\nprénom\nLa description","html":"Tactique\nID\nprénom\nLa description
"},{"id":"text-30","type":"text","heading":"","plain_text":"Exécution\nT1035\nExécution du service\nskip-2.0 est commencé avec le SessionEnv un service","html":"Exécution\nT1035\nExécution du service\nskip-2.0 est commencé avec le SessionEnv un service
"},{"id":"text-31","type":"text","heading":"","plain_text":"Persistance\nT1038\nDétournement d'ordre de recherche de DLL\nskip-2.0 utilise probablement une technique de piratage de DLL contre le SessionEnv un service","html":"Persistance\nT1038\nDétournement d'ordre de recherche de DLL\nskip-2.0 utilise probablement une technique de piratage de DLL contre le SessionEnv un service
"},{"id":"text-32","type":"text","heading":"","plain_text":"T1179\nCrochet\nskip-2.0 accroche plusieurs fonctions dans sqllang.dll service pour contourner l'authentification et rester furtif","html":"T1179\nCrochet\nskip-2.0 accroche plusieurs fonctions dans sqllang.dll service pour contourner l'authentification et rester furtif
"},{"id":"text-33","type":"text","heading":"","plain_text":"Défense Evasion\nT1054\nBlocage des indicateurs\nskip-2.0 bloque la journalisation des événements","html":"Défense Evasion\nT1054\nBlocage des indicateurs\nskip-2.0 bloque la journalisation des événements
"},{"id":"text-34","type":"text","heading":"","plain_text":"T1045\nEmballage logiciel\nskip.2-0 et Chargeur interne sont emballés à l'aide de l'emballage personnalisé de Winnti. De plus, le lanceur est VMProtected.","html":"T1045\nEmballage logiciel\nskip.2-0 et Chargeur interne sont emballés à l'aide de l'emballage personnalisé de Winnti. De plus, le lanceur est VMProtected.
"},{"id":"text-35","type":"text","heading":"","plain_text":"Découverte\nT1057\nDécouverte de processus\nChargeur interne liste les processus en cours afin de trouver le processus exécutant MSSQL Server","html":"Découverte\nT1057\nDécouverte de processus\nChargeur interne liste les processus en cours afin de trouver le processus exécutant MSSQL Server
"},{"id":"text-36","type":"text","heading":"","plain_text":"Impact\nT1485\nDestruction de données\nskip-2.0 permet l'accès non autorisé aux bases de données MSSQL, permettant ainsi la destruction ou la falsification des données","html":"Impact\nT1485\nDestruction de données\nskip-2.0 permet l'accès non autorisé aux bases de données MSSQL, permettant ainsi la destruction ou la falsification des données
"},{"id":"text-37","type":"text","heading":"","plain_text":"T1494\nManipulation des données d'exécution\nskip-2.0 manipule la journalisation des événements au moment de l'exécution","html":"T1494\nManipulation des données d'exécution\nskip-2.0 manipule la journalisation des événements au moment de l'exécution
"},{"id":"text-38","type":"text","heading":"","plain_text":"T1492\nManipulation de données stockées\nskip-2.0 permet un accès non autorisé aux bases de données MSSQL, permettant la manipulation des données stockées","html":"T1492\nManipulation de données stockées\nskip-2.0 permet un accès non autorisé aux bases de données MSSQL, permettant la manipulation des données stockées
"},{"id":"text-39","type":"text","heading":"","plain_text":"Mathieu Tartare\t\t\t\t\t\t\t\t21 octobre 2019 – 11h30","html":"Mathieu Tartare\t\t\t\t\t\t\t\t21 octobre 2019 – 11h30
"},{"id":"text-40","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Un groupe de cyberespionnage notoire rabaisse MSSQL"},{"id":"text-2","heading":"Text","content":"Les chercheurs d'ESET suivent depuis un certain temps les activités du groupe Winnti, actif depuis au moins 2012 et responsable d'attaques de grande envergure de la chaîne logistique contre l'industrie du jeu vidéo et des logiciels. Récemment, nous avons découvert une porte dérobée non documentée ciblant Microsoft SQL (MSSQL) qui permettait aux attaquants de conserver un pied très discret au sein d’organisations compromises. Cette porte dérobée présente de nombreuses similitudes avec le PortReuse backdoor, autre outil utilisé par le groupe Winnti et documenté pour la première fois par ESET en octobre 2019, tel que l'utilisation du même programme de personnalisation et du même programme de lancement VMProtected. C'est pourquoi nous attribuons cette porte dérobée au groupe Winnti.\nPlus tôt cette année, nous avons reçu un échantillon de cette nouvelle porte dérobée appelée skip-2.0 par ses auteurs et une partie de l’arsenal du groupe Winnti. Cette porte dérobée cible MSSQL Server 11 et 12, permettant à l’attaquant de se connecter furtivement à n’importe quel compte MSSQL à l’aide d’un mot de passe magique, tout en masquant automatiquement ces connexions dans les journaux. Une telle porte dérobée pourrait permettre à un attaquant de copier, modifier ou supprimer furtivement le contenu de la base de données. Cela pourrait être utilisé, par exemple, pour manipuler des devises dans le jeu pour un gain financier. Des manipulations de bases de données de devises dans le jeu par des opérateurs de Winnti ont déjà été signalées. Au meilleur de notre connaissance, skip-2.0 est la première porte dérobée du serveur MSSQL à être documentée publiquement. Notez que, même si MSSQL Server 11 et 12 ne sont pas les versions les plus récentes (publiées en 2012 et 2014, respectivement), ce sont les plus couramment utilisées, selon les données de Censys.\nNous avons récemment publié un livre blanc mettant à jour notre compréhension de l’arsenal du groupe Winnti et exposant une de leurs portes secrètes, jusque-là non documentée. PortReuse. Il utilise un packer identique à celui utilisé avec la charge intégrée dans les jeux vidéo compromis découverts par ESET en mars 2019. Le lanceur VMProtected qui laisse tomber le PortReuse porte dérobée a également été trouvée en train d’être utilisée pour lancer ShadowPad versions. Dans ce contexte, nous avons pu trouver un nouvel outil appelé skip.2-0 par son développeur. Il utilise le même lanceur VMProtected ainsi que l’emballeur personnalisé du groupe Winnti et présente de nombreuses similitudes avec d’autres échantillons des outils du groupe Winnti. Cela nous amène à attribuer skip-2.0 à cet ensemble d'outils également.\nCet article porte sur les détails techniques et les fonctionnalités de cette porte dérobée MSSQL Server, ainsi que sur les similitudes techniques entre skip.2-0 l’arsenal connu du groupe Winnti – en particulier avec le PortReuse porte dérobée et ShadowPad. Vous trouverez une note sur les raisons pour lesquelles nous avons choisi la dénomination «Groupe Winnti» sur notre livre blanc.\nLanceur VMProtected\nNous avons trouvé skip-2.0 recherche de lanceurs VMProtected, pour lesquels la charge utile est généralement soit PortReuse ou ShadowPad.\nCharge utile intégrée\nComme avec le crypté PortReuse et ShadowPad charges utiles, sautez-2.0 est intégré dans la superposition du lanceur VMProtected, comme illustré dans la figure 1:"},{"id":"text-3","heading":"Text","content":"Figure 1. En-têtes du lanceur VMProtected. La charge utile est intégrée à la superposition PE."},{"id":"text-4","heading":"Text","content":"Cryptage\nLe chiffrement de la charge utile est identique à celui utilisé dans les autres lanceurs VMProtected. Il est crypté avec RC5 avec une clé dérivée du VolumeID et la ficelle f @ Ukd! rCto R $. – comme décrit dans notre précédent livre blanc sur l'arsenal du groupe Winnti.\nPersistance\nComme dans le cas de PortReuse et ShadowPad, le lanceur persiste probablement en exploitant une vulnérabilité de piratage de DLL en étant installé à C: Windows System32 TSVIPSrv.DLL. Cela entraîne le chargement de la DLL par le Windows standard SessionEnv service au démarrage du système.\nEmballeur personnalisé du groupe Winnti\nUne fois déchiffré, la charge intégrée est en fait l’emballeur personnalisé de Winnti Group. Ce packer est le même shellcode que celui décrit dans notre précédent article et notre livre blanc. Il est utilisé pour emballer le PortReuse porte dérobée ainsi que la charge utile intégrée aux jeux vidéo compromis.\nConfiguration du packer\nComme décrit dans notre article précédent, la configuration du programme de compression contient la clé de déchiffrement du fichier binaire compressé, ainsi que son nom de fichier d'origine, sa taille et le type d'exécution (EXE ou DLL). La configuration de l’emballeur de la charge utile est indiquée dans le tableau 1."},{"id":"text-5","heading":"Text","content":"Parent SHA-1\nCharge utile SHA-1\nClé RC4\nNom de fichier\nType de lancement"},{"id":"text-6","heading":"Text","content":"9aafe81d07b3e5bb282608f0a2a4656eb485b7c9\na2571946ab181657eb825cde07188e8bcd689575\n163716559\nInner-Loader.dll\n2"},{"id":"text-7","heading":"Text","content":"Tableau 1. Configuration du packer de Payload\nLa configuration de l’emballeur indique que la charge utile est appelée Chargeur interne. Chargeur interne est le nom d’un injecteur qui fait partie de l’arsenal du groupe Winnti utilisé pour injecter le PortReuse porte dérobée dans les processus d'écoute sur un port particulier, comme décrit dans notre publication précédente. Au-delà de ce nom identique, il apparaît en analysant cette charge utile qu’il s’agit d’une autre variante du Chargeur interne injecteur.\nInjecteur à chargement interne\nCette variante de Chargeur interne, au lieu de rechercher un processus d’écoute sur un port particulier, comme dans le cas de l’injection du PortReuse porte dérobée, recherche un processus appelé sqlserv.exe, qui est le nom de processus conventionnel de MSSQL Server. Si trouvé, Chargeur interne puis injecte une charge utile dans ce processus. Cette charge est également fournie avec l’emballeur personnalisé. La configuration de l’emballeur de cette charge est indiquée dans le tableau 2."},{"id":"text-8","heading":"Text","content":"Parent SHA-1\nCharge utile SHA-1 \nClé RC4\nNom de fichier\nType de lancement"},{"id":"text-9","heading":"Text","content":"a2571946ab181657eb825cde07188e8bcd689575\n60b9428d00be5ce562ff3d888441220290a6dac7\n923567961\nskip-2.0.dll\n2"},{"id":"text-10","heading":"Text","content":"Tableau 2. Configuration du packer de la charge utile intégrée à Inner-Loader\nLe nom de fichier original de cette charge utile injectée est skip-2.0.dll.\nskip-2.0\nAprès avoir été injecté et lancé par Chargeur interne, sauter-2.0 vérifie d’abord si elle s’exécute dans un sqlserv.exe processus et si oui, récupère une poignée pour sqllang.dll, qui est chargé par sqlserv.exe. Il recherche ensuite et accroche plusieurs fonctions à partir de cette DLL. La figure 2 illustre le skip-2.0 chaîne de compromis."},{"id":"text-11","heading":"Text","content":"Figure 2. Déballage et injection skip-2.0"},{"id":"text-12","heading":"Text","content":"Accrochage sqllang.dll\nLa procédure d’accrochage utilisée par skip-2.0 est très similaire à celle utilisée par NetAgent, le PortReuse module responsable de l’installation du hook réseau. Cette bibliothèque de hook est basée sur le désassembleur Open Source distorm utilisé par plusieurs infrastructures de hook Open Source. En particulier, une bibliothèque de désassemblage est nécessaire pour calculer correctement la taille des instructions à accrocher. On peut voir sur la figure 3 que la procédure d’accrochage utilisée par NetAgent et skip-2.0 sont presque identiques."},{"id":"text-13","heading":"Text","content":"Figure 3. Comparaison de la production de rayons Hex-Ray entre les procédures de raccordement NetAgent (à gauche) et skip-2.0 (à droite)"},{"id":"text-14","heading":"Text","content":"Il existe une différence notable, à savoir le fait que la fonction d’accrochage de skip-2.0 prend l'adresse du crochet à installer comme argument, alors que pour NetAgent, l'adresse du crochet à installer est codée en dur. Ceci est dû au fait que skip-2.0 doit accrocher plusieurs fonctions dans sqllang.dll pour fonctionner correctement, tout en NetAgent ne cible qu'une seule fonction.\nPour localiser chacun sqllang.dll fonction à accrocher, skip-2.0 récupère d’abord la taille de la DLL une fois chargée en mémoire (c’est-à-dire sa taille virtuelle) en analysant ses en-têtes PE. Ensuite, un tableau d'octets à faire correspondre dans sqllang.dll est initialisé comme indiqué dans la figure 4. Une fois que l'adresse de la première occurrence correspondant au tableau d'octets est trouvée, le hook est installé à l'aide de la procédure indiquée dans la figure 3."},{"id":"text-15","heading":"Text","content":"Figure 4. Sortie Hex-Rays de la procédure initialisant le tableau d'octets pour correspondre à sqllang.dll"},{"id":"text-16","heading":"Text","content":"La réussite de l’installation du hook est ensuite consignée en cleartext dans un fichier journal situé sur le chemin codé en dur. C: Windows Temp TS_2CE1.tmp et montré à la figure 5."},{"id":"text-17","heading":"Text","content":"Figure 5. Journal généré lors de l'installation des points d'ancrage"},{"id":"text-18","heading":"Text","content":"Si la fonction ciblée n'est pas trouvée, le programme d'installation de points d'ancrage recherche une fonction de secours, avec un ensemble différent de motifs d'octet.\nFaire correspondre une séquence d'octets pour localiser l'adresse de la fonction ciblée au lieu d'utiliser un décalage statique, plus d'utiliser une séquence d'octets de secours, permet skip-2.0 être plus résilient aux mises à jour MSSQL et potentiellement cibler plusieurs sqllang.dll mises à jour.\nUn mot de passe pour les gouverner tous\nLes fonctions visées par skip-2.0 sont liés à l'authentification et à la journalisation des événements. Les fonctions visées incluent:"},{"id":"text-19","heading":"Text","content":"CPwdPolicyManager :: ValidatePwdForLogin\nCSECAuthenticate :: AuthenticateLoginIdentity\nReportLoginSuccess\nIssueLoginSuccessReport\nFExecuteLogonTriggers\nXeSqlPkg :: sql_statement_completed :: Publish\nXeSqlPkg :: sql_batch_completed :: Publish\nSecAuditPkg :: audit_event :: Publish\nXeSqlPkg :: login :: Publier\nXeSqlPkg :: ual_instrument_called :: Publish"},{"id":"text-20","heading":"Text","content":"La fonction la plus intéressante est la première (CPwdPolicyManager :: ValidatePwdForLogin), qui est responsable de la validation du mot de passe fourni pour un utilisateur donné. Le crochet de cette fonction vérifie si le mot de passe fourni par l’utilisateur correspond au mot de passe magique; Si tel est le cas, la fonction d'origine ne sera pas appelée et le hook renverra 0, permettant ainsi la connexion même si le mot de passe correct n'a pas été fourni. Un indicateur global est ensuite défini et sera vérifié par les autres fonctions raccordées responsables de la journalisation des événements. La procédure décompilée correspondante est illustrée à la figure 6. Dans le cas où cet indicateur global est défini, les fonctions de consignation raccordées retourneront en mode silencieux sans appeler leurs fonctions d'origine correspondantes, de sorte que l'action ne sera pas consignée. Dans le cas où un mot de passe différent est fourni, la fonction d'origine est appelée."},{"id":"text-21","heading":"Text","content":"Figure 6. Sortie Hex-Rays de la procédure chargée de la correspondance du mot de passe fourni lors de la connexion avec la chaîne codée en dur"},{"id":"text-22","heading":"Text","content":"Une technique de backdooring similaire, basée sur des mots de passe codés en dur, a été utilisée avec les backdoors SSH précédemment découverts par ESET. La différence ici est que skip-2.0 est installé en mémoire, tandis que dans le cas des portes dérobées SSH, la sshd l'exécutable a été modifié avant l'exécution.\nAditionellement, CSECAuthenticate :: AuthenticateLoginIdentity sera appelé à partir de son code de crochet mais le crochet retournera toujours 0. Le ReportLoginSucess et IssueLoginSuccessReport Les hooks n'appelleront pas les fonctions d'origine si le mot de passe magique a été utilisé pour se connecter. Le même comportement est appliqué à FEExecuteLogonTriggers. Autres fonctions de journalisation telles que XeSqlPkg :: sql_statement_completed :: Publish ou XeSqlPkg :: sql_batch_completed :: Publish sera également désactivé dans le cas où l'utilisateur s'est connecté avec le mot de passe magique. Plusieurs événements d'audit sont également désactivés, notamment: SecAuditPkg :: audit_event :: Publish, XeSqlPkg :: login :: Publier et XeSqlPkg :: ual_instrument_called :: Publish.\nCette série de points d'ancrage permet non seulement à l'attaquant de conserver sa persistance dans le serveur MSSQL de la victime grâce à l'utilisation d'un mot de passe spécifique, mais également de rester non détecté grâce aux multiples mécanismes de publication des journaux et des événements désactivés lors de l'utilisation de ce mot de passe.\nNous avons testé skip-2.0 contre plusieurs versions de MSSQL Server et nous avons constaté que nous pouvions nous connecter avec le mot de passe spécial avec MSSQL Server 11 et 12. Pour vérifier si un sqllang.dll la version est ciblée par skip-2.0 (c’est-à-dire qui correspond aux modèles d’octets), nous avons créé une règle YARA, qui peut être trouvée dans notre référentiel GitHub.\nConnexion avec le groupe Winnti\nNous avons observé de multiples similitudes entre skip-2.0 et d’autres outils de l’arsenal du groupe Winnti. Son lanceur VMProtected, emballeur personnalisé, Chargeur interne L'injecteur et le cadre d'accrochage font partie des outils déjà connus du groupe Winnti. Cela nous amène à penser que skip-2.0 fait également partie de cet ensemble d'outils.\nConclusion\nle skip-2.0 backdoor est un ajout intéressant à l’arsenal du groupe Winnti, car il partage de nombreuses similitudes avec les outils déjà connus du groupe et permet à l’attaquant d’obtenir de la persistance sur un serveur MSSQL. Considérant que des privilèges d’administration sont requis pour l’installation des hooks, skip-2.0 doit être utilisé sur des serveurs MSSQL déjà compromis pour assurer la persistance et la furtivité.\nNous continuerons de surveiller les nouvelles activités du groupe Winnti et publierons des informations pertinentes sur notre blog. Pour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com.\nIndicateurs de compromis (IoC)"},{"id":"text-23","heading":"Text","content":"Composant\nSHA-1\nNom de détection ESET"},{"id":"text-24","heading":"Text","content":"Chargeur VMP\n18E4FEB988CB95D71D81E1964AA6280E22361B9F4AF89296A15C1EA9068A279E05CC4A41B967C956\nWin64 / Packed.VMProtect.HX"},{"id":"text-25","heading":"Text","content":"Injecteur à chargement interne\nA2571946AB181657EB825CDE07188E8BCD689575\nWin64 / Injector.BS"},{"id":"text-26","heading":"Text","content":"skip-2.0\n60B9428D00BE5CE562FF3D888441220290A6DAC7\nWin32 / Agent.SOK"},{"id":"text-27","heading":"Text","content":"Connu ciblé sqllang.dll fichiers (liste non exhaustive)\n4396D3C904CD340984D474065959E8DD11915444BE352631E6A6A9D0B7BBA9B82D910FA5AB40C64ED4ADBC3F77ADE63B836FC4D9E5915A3479F09BD40BBD3321F93F3DCDD2A332D1F0326142B3F4961AFAE6B48F1D6EDDEC79E62844C444FE3955411EE3 A25B25FFA17E63C6884E28E96B487F58DF4502E7DE76419331381C390A758E634BF2E165A42D4807ED08E9B4BA6C4B5A1F26D671AD212AA2FB0874A21E1B0D91B37BAEBF77F85D1B7C640B8CC02FE11A59FB000D36612950FEBC36004F1317F7D000AA0B661DA36BDD115A1E649F3AAE11AD6F7D6FF2DB63\nN / A"},{"id":"text-28","heading":"Text","content":"Techniques MITRE ATT & CK"},{"id":"text-29","heading":"Text","content":"Tactique\nID\nprénom\nLa description"},{"id":"text-30","heading":"Text","content":"Exécution\nT1035\nExécution du service\nskip-2.0 est commencé avec le SessionEnv un service"},{"id":"text-31","heading":"Text","content":"Persistance\nT1038\nDétournement d'ordre de recherche de DLL\nskip-2.0 utilise probablement une technique de piratage de DLL contre le SessionEnv un service"},{"id":"text-32","heading":"Text","content":"T1179\nCrochet\nskip-2.0 accroche plusieurs fonctions dans sqllang.dll service pour contourner l'authentification et rester furtif"},{"id":"text-33","heading":"Text","content":"Défense Evasion\nT1054\nBlocage des indicateurs\nskip-2.0 bloque la journalisation des événements"},{"id":"text-34","heading":"Text","content":"T1045\nEmballage logiciel\nskip.2-0 et Chargeur interne sont emballés à l'aide de l'emballage personnalisé de Winnti. De plus, le lanceur est VMProtected."},{"id":"text-35","heading":"Text","content":"Découverte\nT1057\nDécouverte de processus\nChargeur interne liste les processus en cours afin de trouver le processus exécutant MSSQL Server"},{"id":"text-36","heading":"Text","content":"Impact\nT1485\nDestruction de données\nskip-2.0 permet l'accès non autorisé aux bases de données MSSQL, permettant ainsi la destruction ou la falsification des données"},{"id":"text-37","heading":"Text","content":"T1494\nManipulation des données d'exécution\nskip-2.0 manipule la journalisation des événements au moment de l'exécution"},{"id":"text-38","heading":"Text","content":"T1492\nManipulation de données stockées\nskip-2.0 permet un accès non autorisé aux bases de données MSSQL, permettant la manipulation des données stockées"},{"id":"text-39","heading":"Text","content":"Mathieu Tartare\t\t\t\t\t\t\t\t21 octobre 2019 – 11h30"},{"id":"text-40","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/12/ws-m.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/12/05/skip-%e2%80%91-2-0-du-groupe-winnti-une-porte-derobee-microsoft-sql-server-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/05/skip-%e2%80%91-2-0-du-groupe-winnti-une-porte-derobee-microsoft-sql-server-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/05/skip-%e2%80%91-2-0-du-groupe-winnti-une-porte-derobee-microsoft-sql-server-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}