Nuevo malware para MSSQL llamado Maggie
AS-079-2022
Fecha: 07/Oct/2022
Resumen:
Continuando con el monitoreo de binarios firmados, DCSO CyTec recientemente se encontró un nuevo malware de puerta trasera dirigido a servidores Microsoft SQL. El malware viene en forma de una DLL de "Procedimiento almacenado extendido", un tipo especial de extensión utilizada por los servidores Microsoft SQL.
Una vez que un atacante lo carga en un servidor, se controla únicamente mediante consultas SQL y ofrece una variedad de funcionalidades para ejecutar comandos, interactuar con archivos y funcionar como un puente de red hacia el entorno del servidor infectado.
Signos de compromiso.
El archivo se llama a sí mismo sqlmaggieAntiVirus_64.dlly solo ofrece una única exportación llamada maggie.
Imagen Nro. 1: Exportación de DLL en IDA
Para instalar Maggie, un atacante debe poder colocar un archivo ESP en un directorio accesible por el servidor MSSQL y debe tener credenciales válidas para cargar Maggie ESP en el servidor. No está claro cómo se realiza un ataque real con Maggie en el mundo real.
De aproximadamente 600 000 servidores escaneados en todo el mundo, se identifica 285 servidores infectados con el usuario de puerta trasera de Maggie, repartidos en 42 países.
Recomendaciones:
Monitorear los signos de compromiso, y los logs de bases de datos en forma periódica.
Referencias:
https://medium.com/@DCSO_CyTec/mssql-meet-maggie-898773df3b01
