新的Maggie恶意软件已经感染了超过250个Microsoft SQL服务器

安全研究人员Johann Aydinbas和DCSO CyTec的Axel Wauer发现了一个新的恶意软件，名为Maggie，它已经感染了全世界250多个微软SQL服务器。

大多数感染病例发生在韩国、印度、越南、中国、俄罗斯、泰国、德国和美国。

恶意软件以”扩展存储过程”的形式出现，这些存储过程是从DLL文件中调用函数的存储过程。当攻击者加载到服务器时，攻击者可以使用SQL查询来控制它，并提供各种功能来运行命令，并与文件进行交互。

后门还可以暴力登录到其他MSSQL服务器，以添加一个特殊的硬编码后门。

此外，该后门还具有在成功强制执行管理员登录的情况下，向其他MSSQL服务器强制执行登录的能力，同时增加一个特殊的硬编码后门用户。根据这一发现，我们在全球范围内发现了250多台受影响的服务器，并将重点放在亚太地区。一旦被攻击者加载到服务器中，它就会被单独使用SQL查询来控制，并提供各种功能来运行命令、与文件交互以及充当网络桥头进入受感染服务器的环境。

在调查新的威胁时，专家们发现了一个可疑的文件，DLL文件是由DEEPSoft有限公司于2022 – 04 – 12签署的。导出目录显示了库的名称sqlmaggieAntiVirus _ 64 . dll，它提供了一个名为maggie的单一导出。

检查专家发现的DLL文件是扩展存储过程，它允许SQL查询运行shell命令。

 Maggie恶意软件支持51个以上的命令来收集系统信息和运行程序，它还能够支持网络相关功能，如启用TermService、运行Socks5代理服务器或设置端口转发，使Maggie充当进入服务器网络环境的桥头堡。

 Maggie还支持攻击者传递的命令以及附加到它们的参数。

 Maggie实现了简单的TCP重定向，允许它作为网络桥头从Internet操作到受影响的MSSQL服务器可访问的任何IP地址。

启用后，如果源IP地址与用户指定的IP掩码匹配，Maggie将任何传入连接(在MSSQL服务器正在侦听的任意端口上)重定向到先前设置的IP和端口。该实现实现了端口重用，使得重定向对授权用户透明，而任何其他连接IP都能够在没有任何干扰或Maggie知识的情况下使用服务器。

专家们注意到，支持的命令列表包括：利用AddUser、利用Run、利用Clone和利用TS。研究者注意到，在命令的实际执行过程中，用于执行上述命令的DLL并不存在。

研究人员假设调用者在发出任何利用命令之前手动上传利用DLL。

然后，Maggie加载用户指定的DLL，寻找一个名为StartPrinter或ProcessCommand (根据使用的精确命令)的导出并传递用户提供的参数。

研究人员对这一威胁共享了妥协指标( IoCs )，并宣布他们将继续调查，以确定受影响的服务器是如何被利用的。