SQL SERVER 危险中，标题不让发，进入看详情（译）

此文发布两次，都失败，无奈只能换标题了

好久没有写SQL SERVER 了，不过这次不是什么好的小写，有一种新型的恶意软件已经黑入众多的SQL SERVER 数据库服务器中，这个后门称为Maggia ,已经感染了全球数百台的主机。

Maggia 通过SQL查询控制的方式进入，其中他主要通过暴力破解管理员的方式登录到SQL SERVER 服务器中，这个后门是由德国分析师Johann Aydinbas和Axel Wauer在DCSO CyTec发现的。遥测数据显示，Maggie在韩国、印度、越南、中国、俄罗斯、泰国、德国和美国更为普遍。

Maggie命令 对恶意软件的分析表明，它伪装成一个名为"sqlmaggieAntiVirus_64.dll"的扩展存储过程DLL文件，该文件由DEEPSoft Co. Ltd数字签名，这家公司似乎位于韩国。扩展存储过程文件通过使用接受远程用户参数并以非结构化数据响应的API扩展SQL查询的功能。Maggie利用这种技术行为，通过一个包含51个命令的丰富设置来实现远程后门访问。

DCSO CyTec的一份报告称，Maggie支持的各种命令可以查询系统信息、执行程序、与文件和文件夹交互、启用远程桌面服务（TermService）、运行SOCKS5代理以及设置端口转发。

攻击者可以为这些命令附加参数，有时Maggie甚至会为支持的参数提供使用说明。

命令列表还包括四个“Exploit”命令，表明攻击者可能会利用已知的漏洞进行某些操作，比如添加新用户。通过在定义密码列表文件和线程计数后进行“SqlScan”和“WinSockScan”命令进行暴力破解管理员密码。如果成功，服务器将添加一个硬编码的后门用户。

该恶意软件提供简单的TCP重定向功能，使远程攻击者能够连接到受感染的MS-SQL服务器可以访问的任何IP地址。

“该实现启用了端口重用，使得重定向对于授权用户来说是透明的，而任何其他连接的IP都能够在没有任何干扰或对Maggie的认识的情况下使用该服务器”，研究人员补充道。该恶意软件还具备SOCKS5代理功能，可以通过代理服务器路由所有网络数据包，使其在需要时更加隐匿。

目前还有一些细节尚未可知，比如Maggie在感染后的使用方式、恶意软件最初是如何植入服务器的，以及谁是这些攻击背后的幕后人。

原文：https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/