Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак

10.11.2015

Нападаюшие компрометируют MySQL-серверы с помощью вредоносного программного обеспечения Chikdos, чтобы в дальнейшем использовать их для DDoS-атак на другие цели.

Мы обнаружили вредоносное программное обеспечение, которое предназначалось для серверов MySQL, чтобы использовать их для проведения распределенного нападения на отказ в обслуживании (DDoS) на другие веб-сайты. Нападаюшие первоначально вводили вредоносную пользовательскую функцию (Downloader.Chikdos) в серверы, чтобы скомпрометировать их вредоносным программным обеспечением DDoS - Trojan.Chikdos.A.

По данным телеметрии Symantec большинство взломанных серверов расположены в Индии, а затем следуют Китай, Бразилия и Нидерланды.
Рисунок. Заражения Downloader.Chikdos и Trojan.Chikdos.A по регионам

Наш анализ обнаружил, что взломанные серверы используются для запуска DDoS атаки против китайского IP адреса и  хостинг-провайдера в США.

Использование вредоносной пользовательской функции
Пользовательская функция (UDF) - это скомпилированный код, который может быть вызван в MySQL, чтобы достигнуть некоторой функции кроме тех, что может предложить система управления базой данных. UDF живет как файл на файловой системе сервера.

Использование вредоносных UDFs, для получения доступа к серверам MySQL само по себе явление не новое. Мэтью Циммерман всесторонне задокументировал подход в этом отчете. В этой технике нападаюший создает UDF, который осуществляет некоторую вредоносную деятельность, такую как загрузка вредоносного программного обеспечения или создание удаленного shell. После этого злоумышленник устанавливает UDF на сервер MySQL посредством атаки инъекцией SQL.

Если нападавший получает возможность выполнять команды SQL, то он cможет использовать параметр Dump, чтобы эффективно загрузить файл UDF в систему, которую впоследствии загружают в MySQL. UDF в этом случае выполняет весь вредоносный код, созданный под управлением злоумышленника.

Техника нападения Chikdos
Chikdos впервые был задокументирован CERT.PL в декабре 2013, когда была обнаружена угроза для Linux и для Windows. Версия Linux была установлена на компьютеры, на которых был скомпрометирован Secure Shell (SSH) атакой по словарю.
В последней кампании Chikdos, которую мы наблюдали, нападавшие, вероятнее всего, использовали автоматизированный сканер или возможно червя, чтобы скомпрометировать серверы MySQL и установить на них UDF. Однако, точное направление инфекции не было установлено. Как только серверы были заражены, UDF загружает инструмент DDoS, который является разновидностью Trojan.Chikdos.A.

Downloader.Chikdos
Разновидности Downloader.Chikdos обычно представлены .dll файлами со случайными названиями. Они могут быть расположены в следующих подпапках MySQL на серверах:
  • Lib\
  • Lib\plugin
  • Bin\

Когда загрузчик запущен через MySQL, он изменяет записи реестра следующим образом, чтобы позволить TerminalServices:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”

TerminalServices позволяет пользователю удаленно управлять компьютером или сервером. Как только у нападаюших появляется этот доступ, их вредоносное программное обеспечение загружает файлы с URL, которые являются жестко вшиты в код вредоносной программы.

Проанализированы образцы двух загруженных файлов. Измененные версии загрузчика добавляют в систему нового пользователя с именем “qianhua”.

Оба загруженных образцов были разновидностями Trojan.Chikdos. Они, как нам показалось, были размещены на двух скомпрометированный веб-сайтах. Мы предполагаем, что использовалось два сайта для того, чтобы потенциально смягчить возможное отключение одного из них законным владельцем хостинг-сервера.

Trojan.Chikdos.A
Анализ показал незначительное отличие разновидности Trojan.Chikdos.A от того, что было ранее описано CERT.PL. Разновидности этой угрозы могут быть определены по PDB-строке в образцах. PDB-строка содержит значение “Chiken”.

Для Chikdos выявлены следующие command-and-control (C&C) серверы:
  • 183.60.202.16:10888
  • 61.160.247.7:10991
  • 103.17.118.124:10991

Почему SQL-серверы?
Учитывая, что Trojan.Chikdos.A используется для выполнения DDoS-атак из зараженной системы, мы считаем, что злоумышленники скомпрометировали серверы MySQL, чтобы воспользоваться их большой пропускной способностью. С этих ресурсов, злоумышленники могли осуществлять большие DDoS-кампании, чем если бы они использовали традиционные клиентские цели.

Кроме того, MySQL вторая наиболее популярная СУБД в мире, что предоставляет злоумышленникам широкий спектр потенциальных мишеней.

Смягчение
Для защиты от этих типов атак, SQL-серверы не следует запускать с правами администратора, там где это возможно. Приложения, использующие SQL сервер должны регулярно обновляться и необходимо применять правила хорошего программирования, чтобы смягчить уязвимость перед SQL-инъекциями. Регулярно проверять появление новых учетных записей пользователей и обеспечения надежную настройку сервисов удаленного доступа.

Приведены следующие хэши этих угроз:
Хэши Downloader.Chikdos

  • 4c3750006f7b2c19dcddc79914ef61e0
  • 4e4b5502bd47cf6a107793712f14a78f
  • bb875b959263cd5b271c78a83c718b04

Хэши Trojan.Chikdos.A

  • d0ffdc99d282d81afa828ad418f4301e
  • 1d0c7d3484cf98b68ad6a233e3529ebe

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Взлом
Опубликовал: Five-seveN
Просмотров: 2913
Проголосовало через SMS: 0
Ключевые слова: mysql, trojan, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}