有一種新型的惡意軟件已經(jīng)黑入眾多的SQL SERVER 數(shù)據(jù)庫服務(wù)器中，這個后門稱為Maggia ,已經(jīng)感染了全球數(shù)百臺的主機。

Maggia 通過SQL查詢控制的方式進入，其中他主要通過暴力破解管理員的方式登錄到SQL SERVER 服務(wù)器中，這個后門是由德國分析師Johann Aydinbas和Axel Wauer在DCSO CyTec發(fā)現(xiàn)的。遙測數(shù)據(jù)顯示，Maggie在韓國、印度、越南、中國、俄羅斯、泰國、德國和美國更為普遍。

Maggie命令 對惡意軟件的分析表明，它偽裝成一個名為"sqlmaggieAntiVirus_64.dll"的擴展存儲過程DLL文件，該文件由DEEPSoft Co. Ltd數(shù)字簽名，這家公司似乎位于韓國。擴展存儲過程文件通過使用接受遠程用戶參數(shù)并以非結(jié)構(gòu)化數(shù)據(jù)響應(yīng)的API擴展SQL查詢的功能。Maggie利用這種技術(shù)行為，通過一個包含51個命令的豐富設(shè)置來實現(xiàn)遠程后門訪問。

DCSO CyTec的一份報告稱，Maggie支持的各種命令可以查詢系統(tǒng)信息、執(zhí)行程序、與文件和文件夾交互、啟用遠程桌面服務(wù)（TermService）、運行SOCKS5代理以及設(shè)置端口轉(zhuǎn)發(fā)。

攻擊者可以為這些命令附加參數(shù)，有時Maggie甚至?xí)橹С值膮?shù)提供使用說明。

命令列表還包括四個“Exploit”命令，表明攻擊者可能會利用已知的漏洞進行某些操作，比如添加新用戶。通過在定義密碼列表文件和線程計數(shù)后進行“SqlScan”和“WinSockScan”命令進行暴力破解管理員密碼。如果成功，服務(wù)器將添加一個硬編碼的后門用戶。

該惡意軟件提供簡單的TCP重定向功能，使遠程攻擊者能夠連接到受感染的MS-SQL服務(wù)器可以訪問的任何IP地址。

“該實現(xiàn)啟用了端口重用，使得重定向?qū)τ谑跈?quán)用戶來說是透明的，而任何其他連接的IP都能夠在沒有任何干擾或?qū)aggie的認識的情況下使用該服務(wù)器”，研究人員補充道。該惡意軟件還具備SOCKS5代理功能，可以通過代理服務(wù)器路由所有網(wǎng)絡(luò)數(shù)據(jù)包，使其在需要時更加隱匿。

目前還有一些細節(jié)尚未可知，比如Maggie在感染后的使用方式、惡意軟件最初是如何植入服務(wù)器的，以及誰是這些攻擊背后的幕后人。

原文：https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/