Нападаюшие компрометируют MySQL-серверы с помощью вредоносного программного обеспечения Chikdos, чтобы в дальнейшем использовать их для DDoS-атак на другие цели.

Мы обнаружили вредоносное программное обеспечение, которое предназначалось для серверов MySQL, чтобы использовать их для проведения распределенного нападения на отказ в обслуживании (DDoS) на другие веб-сайты. Нападаюшие первоначально вводили вредоносную пользовательскую функцию (Downloader.Chikdos) в серверы, чтобы скомпрометировать их вредоносным программным обеспечением DDoS - Trojan.Chikdos.A.

По данным телеметрии Symantec большинство взломанных серверов расположены в Индии, а затем следуют Китай, Бразилия и Нидерланды.
Рисунок. Заражения Downloader.Chikdos и Trojan.Chikdos.A по регионам

Наш анализ обнаружил, что взломанные серверы используются для запуска DDoS атаки против китайского IP адреса и  хостинг-провайдера в США.

Использование вредоносной пользовательской функции
Пользовательская функция (UDF) - это скомпилированный код, который может быть вызван в MySQL, чтобы достигнуть некоторой функции кроме тех, что может предложить система управления базой данных. UDF живет как файл на файловой системе сервера.

Использование вредоносных UDFs, для получения доступа к серверам MySQL само по себе явление не новое. Мэтью Циммерман всесторонне задокументировал подход в этом отчете. В этой технике нападаюший создает UDF, который осуществляет некоторую вредоносную деятельность, такую как загрузка вредоносного программного обеспечения или создание удаленного shell. После этого злоумышленник устанавливает UDF на сервер MySQL посредством атаки инъекцией SQL.

Если нападавший получает возможность выполнять команды SQL, то он cможет использовать параметр Dump, чтобы эффективно загрузить файл UDF в систему, которую впоследствии загружают в MySQL. UDF в этом случае выполняет весь вредоносный код, созданный под управлением злоумышленника.

Техника нападения Chikdos
Chikdos впервые был задокументирован CERT.PL в декабре 2013, когда была обнаружена угроза для Linux и для Windows. Версия Linux была установлена на компьютеры, на которых был скомпрометирован Secure Shell (SSH) атакой по словарю.
В последней кампании Chikdos, которую мы наблюдали, нападавшие, вероятнее всего, использовали автоматизированный сканер или возможно червя, чтобы скомпрометировать серверы MySQL и установить на них UDF. Однако, точное направление инфекции не было установлено. Как только серверы были заражены, UDF загружает инструмент DDoS, который является разновидностью Trojan.Chikdos.A.

Downloader.Chikdos
Разновидности Downloader.Chikdos обычно представлены .dll файлами со случайными названиями. Они могут быть расположены в следующих подпапках MySQL на серверах:

• Lib\
• Lib\plugin
• Bin\

Когда загрузчик запущен через MySQL, он изменяет записи реестра следующим образом, чтобы позволить TerminalServices:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”

TerminalServices позволяет пользователю удаленно управлять компьютером или сервером. Как только у нападаюших появляется этот доступ, их вредоносное программное обеспечение загружает файлы с URL, которые являются жестко вшиты в код вредоносной программы.

Проанализированы образцы двух загруженных файлов. Измененные версии загрузчика добавляют в систему нового пользователя с именем “qianhua”.

Оба загруженных образцов были разновидностями Trojan.Chikdos. Они, как нам показалось, были размещены на двух скомпрометированный веб-сайтах. Мы предполагаем, что использовалось два сайта для того, чтобы потенциально смягчить возможное отключение одного из них законным владельцем хостинг-сервера.

Trojan.Chikdos.A
Анализ показал незначительное отличие разновидности Trojan.Chikdos.A от того, что было ранее описано CERT.PL. Разновидности этой угрозы могут быть определены по PDB-строке в образцах. PDB-строка содержит значение “Chiken”.

Для Chikdos выявлены следующие command-and-control (C&C) серверы:

• 183.60.202.16:10888
• 61.160.247.7:10991
• 103.17.118.124:10991

Почему SQL-серверы?
Учитывая, что Trojan.Chikdos.A используется для выполнения DDoS-атак из зараженной системы, мы считаем, что злоумышленники скомпрометировали серверы MySQL, чтобы воспользоваться их большой пропускной способностью. С этих ресурсов, злоумышленники могли осуществлять большие DDoS-кампании, чем если бы они использовали традиционные клиентские цели.

Кроме того, MySQL вторая наиболее популярная СУБД в мире, что предоставляет злоумышленникам широкий спектр потенциальных мишеней.

Смягчение
Для защиты от этих типов атак, SQL-серверы не следует запускать с правами администратора, там где это возможно. Приложения, использующие SQL сервер должны регулярно обновляться и необходимо применять правила хорошего программирования, чтобы смягчить уязвимость перед SQL-инъекциями. Регулярно проверять появление новых учетных записей пользователей и обеспечения надежную настройку сервисов удаленного доступа.

Приведены следующие хэши этих угроз:
Хэши Downloader.Chikdos

• 4c3750006f7b2c19dcddc79914ef61e0
• 4e4b5502bd47cf6a107793712f14a78f
• bb875b959263cd5b271c78a83c718b04

Хэши Trojan.Chikdos.A

• d0ffdc99d282d81afa828ad418f4301e
• 1d0c7d3484cf98b68ad6a233e3529ebe