“#aiedonline no odysee.com”
Curso Hacker, entre a luz e as trevas

LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

Ajude o canal, seja membro o faça um PIX de qualquer valor para [email protected]

TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

OUTROS CANAIS:
CURSO HACKER (ESPELHO): https://odysee.com/@CursoHacker
NOTÍCIAS HACKER: https://www.youtube.com/channel/UCSN_r70Uy_7HmAjjAerbHuw

URLs:
https://medium.com/@DCSO_CyTec/mssql-meet-maggie-898773df3b01
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29129 (vai ter que traduzir, tá em Coreano)

Continuando nosso monitoramento de binários assinados, a DCSO CyTec encontrou recentemente um novo malware de backdoor direcionado aos servidores Microsoft SQL.

O malware vem na forma de uma DLL “Extended Stored Procedure”, um tipo especial de extensão usado pelos servidores Microsoft SQL. Uma vez carregado em um servidor por um invasor, ele é controlado exclusivamente por meio de consultas SQL e oferece uma variedade de funcionalidades para executar comandos, interagir com arquivos e funcionar como uma ponte de rede no ambiente do servidor infectado.

Descoberta
Ao procurar novas ameaças, um arquivo chamou nossa atenção . Detectado como APT_ShadowForce_Malware_ON_Nov17_1pelo THOR e com uma detecção AV correspondente pelo AhnLab-V3, Trojan/Win.ShadowForce.R472810pois decidimos dar uma olhada mais de perto.

Detecção de THOR no VirusTotal
O arquivo DLL é assinado por DEEPSoft Co., Ltd.em 2022–04–12. De acordo com seu diretório de exportação, o arquivo chama a si mesmo sqlmaggieAntiVirus_64.dlle oferece apenas uma única exportação chamada maggie.

Exportação de DLL no IDA
Procedimentos armazenados estendidos
Uma inspeção mais detalhada revelou que essa DLL era um arquivo Extended Stored Procedure.

Procedimentos armazenados estendidos são uma maneira de oferecer funcionalidade estendida a consultas SQL para uso em um servidor MSSQL, semelhante ao infame procedimento armazenado xp_cmdshell , que permite que consultas SQL executem comandos shell.

ESPs são arquivos DLL comuns usando uma API simplista. Quando executados, os ESPs recebem um identificador para a conexão do cliente que lhes permite buscar argumentos fornecidos pelo usuário (via srv_paramdata ) e retornar dados não estruturados ao chamador (via srv_sendmsg ).

Maggie utiliza essa interface de passagem de mensagens para implementar um backdoor totalmente funcional controlado apenas por meio de consultas SQL.

Para instalar o Maggie , um invasor precisa colocar um arquivo ESP em um diretório acessível pelo servidor MSSQL e precisa ter credenciais válidas para carregar o Maggie ESP no servidor. Não está claro como um ataque real com Maggie é realizado no mundo real.

Depois de carregar manualmente Maggie com

sp_addextendedproc maggie, ‘caminho para DLL’;
um usuário autenticado pode começar a emitir comandos para o backdoor por meio de consultas SQL, por exemplo, para chamar o whoamicomando shell:

$ exec maggie ‘Exec whoami’;
Procedimento MSSQL 04/08/2022
Execute Comando: Exec whoami
Executando whoami com sucesso
nt servicemssqlserver
Comandos
Uma vez instalado, o Maggie oferece uma variedade de comandos para consultar informações do sistema, interagir com arquivos e pastas, executar programas, bem como várias funcionalidades relacionadas à rede, como habilitar o TermService, executar um servidor proxy Socks5 ou configurar o encaminhamento de porta para fazer o Maggie agir como uma ponte para o ambiente de rede do servidor.

A lista completa de comandos que identificamos:

Lista de comandos disponíveis em Maggie
Os comandos podem receber vários argumentos, separados por espaços. Para alguns comandos, Maggie inclui até instruções de uso:

Instruções de uso para o comando SqlScan
Maggie como uma cabeça de ponte de rede
Maggie contém funcionalidade para redirecionamento TCP simples, permitindo que funcione como uma ponte de rede da Internet para qualquer endereço IP acessível pelo servidor MSSQL infectado.

Quando ativado, Maggie redireciona qualquer conexão de entrada (em qualquer porta em que o servidor MSSQL esteja escutando) para um IP e porta definidos anteriormente, se o endereço IP de origem corresponder a uma máscara IP especificada pelo usuário. A implementação permite a reutilização de portas, tornando o redirecionamento transparente para usuários autorizados, enquanto qualquer outro IP de conexão é capaz de usar o servidor sem qualquer interferência ou conhecimento de Maggie .

Para que isso funcione, StartHookinstrui Maggie a instalar ganchos de API de rede para as seguintes funções:

aceitar
Aceitar Ex
Aceitar WSA
setsockopt
CreateIoCompletionPort
permitindo que Maggie intercepte conexões antes de alcançar os serviços subjacentes.