Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台

Hundreds of Microsoft SQL servers backdoored with new malware

2022/10/05 BleepingComputer — Microsoft SQL Server を標的とする新たなマルウェアが、セキュリティ研究者たちにより発見された。この Maggie と名付けられたバックドアは、すでに世界中の数百台のマシンに感染しているようだ。Maggie は、コマンドの実行やファイルとのやり取りを指示する、SQL クエリにより制御される。その機能の及ぶ範囲には、他の Microsoft SQL Server への管理者ログインの強要や、サーバのネットワーク環境へのブリッジヘッドなどが含まれるという。


このバックドアは、DCSO CyTec のドイツ人アナリストである Johann Aydinbas と Axel Wauer により発見された。Telemetry のデータによると、Maggie は韓国/インド/ベトナム/中国/ロシア/タイ/ドイツ/米国などで、より多く出回っていることが判明している。

Maggie infections heatmap
Maggie 感染のヒートマップ (DCSO CyTec)

Maggie コマンド

このマルウェアを解析したところ、韓国を拠点とするとされる DEEPSoft Co. Ltd によりデジタル署名された、拡張ストアド・プロシージャ DLL (sqlmaggieAntiVirus_64.dll) を偽装していることが明らかになった。

拡張ストアド・プロシージャ・ファイルは、リモート・ユーザーの引数を受け取り、非構造データで応答する API を使用することで、SQL クエリの機能を拡張する。Maggie は、この技術的な動作を悪用し、51種類もの豊富なコマンドを使用できるリモート・バックドア・アクセスを可能にする。

All commands supported by Maggie
Maggie がサポートするコマンド (DCSO CyTec)

DCSO CyTec のレポートによると、Maggie がサポートする各種のコマンドにより、システム情報の照会/プログラムの実行/ファイル・フォルダーの操作/リモート・デスクトップ・サービス TermService の有効化/SOCKS5 プロキシの実行/ポート転送の設定などが可能になるとのことだ。

また、脅威アクターは、これらのコマンドに引数を追加できる。場合によっては、Maggie は、サポートされている引数の使用方法を提供することさえあるという。

Valid parameters for the SQL scan command
SQL scan コマンドの有効なパラメータ (DCSO CyTec)

研究者たちによると、コマンド・リストには4つのエクスプロイト・コマンドも含まれており、新規ユーザーの追加などおいては、既知の脆弱性に依存している可能性があることのことだ。しかし、このエクスプロイトは、Maggie に同梱されていない追加の DLL に依存しているようであり、アナリストたちはテスト出来なかったという。

管理者パスワードのブルートフォースは、パスワード・リスト・ファイルとスレッド・カウントを定義した後に、SqlScan と WinSockScan コマンドを通じて実行される。それに成功すると、ハードコードされたバックドア・ユーザがサーバに追加される。

Maggie ネットワーク・ブリッジ

このマルウェアは、単純な TCP リダイレクト機能を提供する。リモートの攻撃者は、感染したMS-SQL Server が到達できる、あらゆる IP アドレスへの接続が可能になる。

DCSO CyTec は、「Maggie は、ソース IP アドレスがユーザー指定の IP マスクに一致する場合、 (MSSQL Server がリッスンしている任意のポート上の) あらゆる着信接続を、以前に設定した IP とポートにリダイレクトできる」と説明している。

研究者たちは、「この実装により、ポートの再利用が可能になり、正規のユーザーに対してリダイレクトが透過的になり、他の接続 IP は Maggie  を知らなくても、そのサーバを使用できるようになる」と付け加えている。

また、このマルウェアは、すべてのネットワーク・パケットを、プロキシ・サーバを経由させるための SOCKS5 プロキシ機能を備えており、必要に応じてさらにステルス化させることが可能だという。

Starting and stopping the SOCKS5 proxy service
SOCKS5 プロキシサービスの起動と停止 (DCSO CyTec)

現時点では、感染後の Maggie の使用方法は不明である。また、サーバにマルウェアを仕込む方式や、この攻撃の背後にいる組織などの、詳細も不明なままだ。

Maggie という、拡張ストアド・プロシージャ DLL (sqlmaggieAntiVirus_64.dll) を偽装する、きわめて多機能なマルウェアの感染が広まっているとのことです。最近の SQL Server に関連する記事としては、5月18日の「Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している」や、9月24日「Microsoft SQL Server をハッキング:TargetCompany ランサムウェアの狙いはどこに?」などがあります。よろしければ、SQL Server で検索も、ご利用ください。