2min

Maggie is een nieuwe malware die is opgedoken en al ongeautoriseerde backdoor-toegang heeft verkregen tot verschillende Microsoft SQL-servers.

Onderzoekers hebben onlangs een malware genaamd Maggie ontdekt die ongeoorloofde backdoor-toegang heeft verkregen tot verschillende Microsoft SQL-servers. John Aydinbas en Alex Wauer, Duitse analisten bij DSCO CyTec, hebben deze malware onlangs ontdekt. Volgens de verzamelde gegevens heeft de malware al verschillende servers in Zuid-Korea, Vietnam, India, China, Thailand, Rusland, Duitsland en de VS geïnfecteerd.

Hoe werkt Maggie?

Deskundigen zijn al begonnen met het analyseren van de malware om te begrijpen hoe deze de servers infecteert. Studies hebben aangetoond dat de malware zich vermomt als een onschadelijke uitgebreide opgeslagen procedure. De uitgebreide opgeslagen procedure maakt de uitbreiding van SQL-functionaliteit via API mogelijk, waardoor de malware op afstand toegang krijgt tot de server. Maggie heeft een set van 51 commando’s die het gebruikt om toegang te krijgen tot deze servers en informatie op te halen.

Sommige van deze commando’s omvatten ook ‘exploit’-commando’s die misbruik maken van de kwetsbaarheden van de server voor acties zoals het aanmaken van een nieuwe gebruiker.

De bevindingen van DCSO CyTec

“Indien ingeschakeld, leidt Maggie elke inkomende verbinding (op elke poort waarop de MSSQL-server luistert) om naar een eerder ingestelde IP en poort als het bron IP-adres overeenkomt met een door de gebruiker gespecificeerd IP-masker”, aldus de onderzoekers van DCSO CyTec. Ze verklaarden verder: “De implementatie maakt hergebruik van poorten mogelijk, waardoor de omleiding transparant is voor geautoriseerde gebruikers, terwijl elk ander verbindend IP de server kan gebruiken zonder tussenkomst of kennis van Maggie”.

Maggie is een groeiende bedreiging geworden voor SQL-servers wereldwijd. Vanwege zijn onschadelijke aard en extra stealth-functionaliteiten moeten specialisten op het gebied van gegevensbeveiliging hun servers versterken om te voorkomen dat aanvallers zich toegang verschaffen met behulp van deze malware.