Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак

10.11.2015

Нападаюшие компрометируют MySQL-серверы с помощью вредоносного программного обеспечения Chikdos, чтобы в дальнейшем использовать их для DDoS-атак на другие цели.

Мы обнаружили вредоносное программное обеспечение, которое предназначалось для серверов MySQL, чтобы использовать их для проведения распределенного нападения на отказ в обслуживании (DDoS) на другие веб-сайты. Нападаюшие первоначально вводили вредоносную пользовательскую функцию (Downloader.Chikdos) в серверы, чтобы скомпрометировать их вредоносным программным обеспечением DDoS - Trojan.Chikdos.A.

По данным телеметрии Symantec большинство взломанных серверов расположены в Индии, а затем следуют Китай, Бразилия и Нидерланды.
Рисунок. Заражения Downloader.Chikdos и Trojan.Chikdos.A по регионам

Наш анализ обнаружил, что взломанные серверы используются для запуска DDoS атаки против китайского IP адреса и  хостинг-провайдера в США.

Использование вредоносной пользовательской функции
Пользовательская функция (UDF) - это скомпилированный код, который может быть вызван в MySQL, чтобы достигнуть некоторой функции кроме тех, что может предложить система управления базой данных. UDF живет как файл на файловой системе сервера.

Использование вредоносных UDFs, для получения доступа к серверам MySQL само по себе явление не новое. Мэтью Циммерман всесторонне задокументировал подход в этом отчете. В этой технике нападаюший создает UDF, который осуществляет некоторую вредоносную деятельность, такую как загрузка вредоносного программного обеспечения или создание удаленного shell. После этого злоумышленник устанавливает UDF на сервер MySQL посредством атаки инъекцией SQL.

Если нападавший получает возможность выполнять команды SQL, то он cможет использовать параметр Dump, чтобы эффективно загрузить файл UDF в систему, которую впоследствии загружают в MySQL. UDF в этом случае выполняет весь вредоносный код, созданный под управлением злоумышленника.

Техника нападения Chikdos
Chikdos впервые был задокументирован CERT.PL в декабре 2013, когда была обнаружена угроза для Linux и для Windows. Версия Linux была установлена на компьютеры, на которых был скомпрометирован Secure Shell (SSH) атакой по словарю.
В последней кампании Chikdos, которую мы наблюдали, нападавшие, вероятнее всего, использовали автоматизированный сканер или возможно червя, чтобы скомпрометировать серверы MySQL и установить на них UDF. Однако, точное направление инфекции не было установлено. Как только серверы были заражены, UDF загружает инструмент DDoS, который является разновидностью Trojan.Chikdos.A.

Downloader.Chikdos
Разновидности Downloader.Chikdos обычно представлены .dll файлами со случайными названиями. Они могут быть расположены в следующих подпапках MySQL на серверах:
  • Lib\
  • Lib\plugin
  • Bin\

Когда загрузчик запущен через MySQL, он изменяет записи реестра следующим образом, чтобы позволить TerminalServices:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”

TerminalServices позволяет пользователю удаленно управлять компьютером или сервером. Как только у нападаюших появляется этот доступ, их вредоносное программное обеспечение загружает файлы с URL, которые являются жестко вшиты в код вредоносной программы.

Проанализированы образцы двух загруженных файлов. Измененные версии загрузчика добавляют в систему нового пользователя с именем “qianhua”.

Оба загруженных образцов были разновидностями Trojan.Chikdos. Они, как нам показалось, были размещены на двух скомпрометированный веб-сайтах. Мы предполагаем, что использовалось два сайта для того, чтобы потенциально смягчить возможное отключение одного из них законным владельцем хостинг-сервера.

Trojan.Chikdos.A
Анализ показал незначительное отличие разновидности Trojan.Chikdos.A от того, что было ранее описано CERT.PL. Разновидности этой угрозы могут быть определены по PDB-строке в образцах. PDB-строка содержит значение “Chiken”.

Для Chikdos выявлены следующие command-and-control (C&C) серверы:
  • 183.60.202.16:10888
  • 61.160.247.7:10991
  • 103.17.118.124:10991

Почему SQL-серверы?
Учитывая, что Trojan.Chikdos.A используется для выполнения DDoS-атак из зараженной системы, мы считаем, что злоумышленники скомпрометировали серверы MySQL, чтобы воспользоваться их большой пропускной способностью. С этих ресурсов, злоумышленники могли осуществлять большие DDoS-кампании, чем если бы они использовали традиционные клиентские цели.

Кроме того, MySQL вторая наиболее популярная СУБД в мире, что предоставляет злоумышленникам широкий спектр потенциальных мишеней.

Смягчение
Для защиты от этих типов атак, SQL-серверы не следует запускать с правами администратора, там где это возможно. Приложения, использующие SQL сервер должны регулярно обновляться и необходимо применять правила хорошего программирования, чтобы смягчить уязвимость перед SQL-инъекциями. Регулярно проверять появление новых учетных записей пользователей и обеспечения надежную настройку сервисов удаленного доступа.

Приведены следующие хэши этих угроз:
Хэши Downloader.Chikdos

  • 4c3750006f7b2c19dcddc79914ef61e0
  • 4e4b5502bd47cf6a107793712f14a78f
  • bb875b959263cd5b271c78a83c718b04

Хэши Trojan.Chikdos.A

  • d0ffdc99d282d81afa828ad418f4301e
  • 1d0c7d3484cf98b68ad6a233e3529ebe

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Взлом
Опубликовал: Five-seveN
Просмотров: 2788
Проголосовало через SMS: 0
Ключевые слова: mysql, trojan, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Сайты по-прежнему могут детектировать режим «инкогнито» в Chrome
  • Данные пользователей Zoom оказались опубликованы на хакерском фор...
  • SpaceX и НАСА запретили сотрудникам использовать Zoom. Разработка...
  • В Firefox исправлены две 0day уязвимости
  • Хакерский форум OGUsers взломан
  • Уязвимости в Safari позволяли взломать камеру на iPhone и MacBook
  • Уязвимость в iOS блокирует шифрование трафика VPN
  • Зафиксирован новый случай использования крайне редкой атаки BadUS...
  • Опубликован способ обхода PPL для внедрения шелл-кода
  • ФБР ликвидировали deer.io

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Ищу работу » Re: взлом почты на майле
  • Mobile / Разное » Предоставляю услуги взлома: email sherhan.vzlom@gmail.com
  • Взлом и безопасность / Новичкам » Re: Взлом Whatsapp.Viber.Instagram. facebook.Узнаем взломаем...
  • Разное / Ищу работу » Re: Взлом страниц: ВКонтакте, Одноклассники.
  • Разное / Ищу работу » Re: -=Мощный DDoS service/ДДоС сервис=-
  • Сети / Общее » Re: Предоставляю услуги взлома: email sherhan.vzlom@gmail.co...
  • Взлом и безопасность / Новичкам » Видео Мотомул 6 - совершенство в мототележках
  • Взлом и безопасность / Новичкам » Re: Подайте направление, буду учеником, буду благодарен
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Взлом и безопасность / Новичкам » Re: Профессиональные услуги по взлому

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}