Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Серверы MySQL, взломанны и заражены вредоносным ПО с целью осуществления DDoS-атак

10.11.2015

Нападаюшие компрометируют MySQL-серверы с помощью вредоносного программного обеспечения Chikdos, чтобы в дальнейшем использовать их для DDoS-атак на другие цели.

Мы обнаружили вредоносное программное обеспечение, которое предназначалось для серверов MySQL, чтобы использовать их для проведения распределенного нападения на отказ в обслуживании (DDoS) на другие веб-сайты. Нападаюшие первоначально вводили вредоносную пользовательскую функцию (Downloader.Chikdos) в серверы, чтобы скомпрометировать их вредоносным программным обеспечением DDoS - Trojan.Chikdos.A.

По данным телеметрии Symantec большинство взломанных серверов расположены в Индии, а затем следуют Китай, Бразилия и Нидерланды.
Рисунок. Заражения Downloader.Chikdos и Trojan.Chikdos.A по регионам

Наш анализ обнаружил, что взломанные серверы используются для запуска DDoS атаки против китайского IP адреса и  хостинг-провайдера в США.

Использование вредоносной пользовательской функции
Пользовательская функция (UDF) - это скомпилированный код, который может быть вызван в MySQL, чтобы достигнуть некоторой функции кроме тех, что может предложить система управления базой данных. UDF живет как файл на файловой системе сервера.

Использование вредоносных UDFs, для получения доступа к серверам MySQL само по себе явление не новое. Мэтью Циммерман всесторонне задокументировал подход в этом отчете. В этой технике нападаюший создает UDF, который осуществляет некоторую вредоносную деятельность, такую как загрузка вредоносного программного обеспечения или создание удаленного shell. После этого злоумышленник устанавливает UDF на сервер MySQL посредством атаки инъекцией SQL.

Если нападавший получает возможность выполнять команды SQL, то он cможет использовать параметр Dump, чтобы эффективно загрузить файл UDF в систему, которую впоследствии загружают в MySQL. UDF в этом случае выполняет весь вредоносный код, созданный под управлением злоумышленника.

Техника нападения Chikdos
Chikdos впервые был задокументирован CERT.PL в декабре 2013, когда была обнаружена угроза для Linux и для Windows. Версия Linux была установлена на компьютеры, на которых был скомпрометирован Secure Shell (SSH) атакой по словарю.
В последней кампании Chikdos, которую мы наблюдали, нападавшие, вероятнее всего, использовали автоматизированный сканер или возможно червя, чтобы скомпрометировать серверы MySQL и установить на них UDF. Однако, точное направление инфекции не было установлено. Как только серверы были заражены, UDF загружает инструмент DDoS, который является разновидностью Trojan.Chikdos.A.

Downloader.Chikdos
Разновидности Downloader.Chikdos обычно представлены .dll файлами со случайными названиями. Они могут быть расположены в следующих подпапках MySQL на серверах:
  • Lib\
  • Lib\plugin
  • Bin\

Когда загрузчик запущен через MySQL, он изменяет записи реестра следующим образом, чтобы позволить TerminalServices:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”

TerminalServices позволяет пользователю удаленно управлять компьютером или сервером. Как только у нападаюших появляется этот доступ, их вредоносное программное обеспечение загружает файлы с URL, которые являются жестко вшиты в код вредоносной программы.

Проанализированы образцы двух загруженных файлов. Измененные версии загрузчика добавляют в систему нового пользователя с именем “qianhua”.

Оба загруженных образцов были разновидностями Trojan.Chikdos. Они, как нам показалось, были размещены на двух скомпрометированный веб-сайтах. Мы предполагаем, что использовалось два сайта для того, чтобы потенциально смягчить возможное отключение одного из них законным владельцем хостинг-сервера.

Trojan.Chikdos.A
Анализ показал незначительное отличие разновидности Trojan.Chikdos.A от того, что было ранее описано CERT.PL. Разновидности этой угрозы могут быть определены по PDB-строке в образцах. PDB-строка содержит значение “Chiken”.

Для Chikdos выявлены следующие command-and-control (C&C) серверы:
  • 183.60.202.16:10888
  • 61.160.247.7:10991
  • 103.17.118.124:10991

Почему SQL-серверы?
Учитывая, что Trojan.Chikdos.A используется для выполнения DDoS-атак из зараженной системы, мы считаем, что злоумышленники скомпрометировали серверы MySQL, чтобы воспользоваться их большой пропускной способностью. С этих ресурсов, злоумышленники могли осуществлять большие DDoS-кампании, чем если бы они использовали традиционные клиентские цели.

Кроме того, MySQL вторая наиболее популярная СУБД в мире, что предоставляет злоумышленникам широкий спектр потенциальных мишеней.

Смягчение
Для защиты от этих типов атак, SQL-серверы не следует запускать с правами администратора, там где это возможно. Приложения, использующие SQL сервер должны регулярно обновляться и необходимо применять правила хорошего программирования, чтобы смягчить уязвимость перед SQL-инъекциями. Регулярно проверять появление новых учетных записей пользователей и обеспечения надежную настройку сервисов удаленного доступа.

Приведены следующие хэши этих угроз:
Хэши Downloader.Chikdos

  • 4c3750006f7b2c19dcddc79914ef61e0
  • 4e4b5502bd47cf6a107793712f14a78f
  • bb875b959263cd5b271c78a83c718b04

Хэши Trojan.Chikdos.A

  • d0ffdc99d282d81afa828ad418f4301e
  • 1d0c7d3484cf98b68ad6a233e3529ebe

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Взлом
Опубликовал: Five-seveN
Просмотров: 3824
Проголосовало через SMS: 0
Ключевые слова: mysql, trojan, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}