新的Maggie恶意软件已感染包括我国在内的超250台微软SQL服务器

近日，来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件，名为Maggie，已经感染了全球250多个微软SQL服务器。

据悉，该恶意软件以 "扩展存储过程 "的形式出现，这些存储过程从DLL文件调用功能。装入服务器后，攻击者可以使用SQL查询来控制它，并提供各种功能来运行命令，并与文件互动。该后门还能够强行登录到其他MSSQL服务器，以增加一个特殊的硬编码后门。

此外，该后门还具有对其他MSSQL服务器进行暴力破解登录的能力，同时在成功破解管理员登录的情况下，增加一个特殊的硬编码后门用户。基于这一发现，全球有超过250台服务器受到影响，而且明显集中在亚太地区。一旦被攻击者加载到服务器中，它就只用SQL查询来控制，并提供各种功能来运行命令，与文件互动，并作为网络桥头堡进入受感染的服务器环境。

在调查新的威胁时，专家们发现了一个可疑的文件，该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称，sqlmaggieAntiVirus_64.dll，它提供了一个名为maggie的单一导出。

检查DLL文件时，专家们发现它是一个扩展存储过程，它允许SQL查询运行shell命令。

Maggie恶意软件支持超过51条命令来收集系统信息和运行程序，它还能够支持与网络有关的功能，如启用TermService，运行Socks5代理服务器或设置端口转发，使Maggie作为桥头堡进入服务器的网络环境。

Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。

Maggie实现了简单的TCP重定向，允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。

当启用时，如果源IP地址与用户指定的IP掩码相匹配，Maggie会将任何传入的连接（在MSSQL服务器正在监听的任何端口）重定向到先前设置的IP和端口。该实施方案实现了端口重用，使重定向对授权用户来说是透明的，而任何其他连接的IP都能够使用服务器而不受任何干扰，也不会被Maggie知道。

专家们注意到，支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到，用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前，手动上传了剥削DLL。

然后，Maggie会加载用户指定的DLL，寻找一个名为StartPrinter或ProcessCommand（取决于使用的确切命令）的出口，并通过用户提供的参数。

研究人员分享了这种威胁的妥协指标（IoCs），并宣布他们将继续调查，以确定受影响的服务器是如何被利用的。