Οι ειδικοί της Symantec έχουν ανακαλύψει μια νέα παραλλαγή του Chikdos DDoS-Trojan που στοχεύει MySQL servers σε όλο τον κόσμο.
Υπάρχει ένα malware που καταχράται MySQL Servers για DDoS επιθέσεις. Οι ειδικοί το ονόμασαν Chikdos. Η απειλή εντοπίστηκε για πρώτη φορά από το CERT Poland και σύμφωνα με τους ειδικούς υπάρχει από το 2013. Το Chikdos είναι ένα DDoS Trojan που είναι σε θέση να μολύνει τόσο μηχανήματα Linux όσο και Windows για να τα χρησιμοποιήσει σε επιθέσεις DDoS.
«Φαίνεται ότι το bot δημιουργήθηκε με αποκλειστικό σκοπό την εκτέλεση επιθέσεων DDoS. Αυτό σημαίνει ότι οι επιτιθέμενοι ενδιαφέρονται μόνο για τη μόλυνση των μηχανημάτων που έχουν ένα σημαντικό bandwidth δικτύου, π.χ. servers. Αυτό είναι ενδεχομένως και ο λόγος για τον οποίο υπάρχουν δύο εκδόσεις του bot – Τα λειτουργικά συστήματα Linux είναι μια δημοφιλής επιλογή για τους εξυπηρετητές.», αναφέρει η έκθεση που δημοσιεύθηκε από το CERT Poland.
Τώρα, οι ερευνητές της Symantec έχουν εντοπίσει μια νέα έκδοση του Chikdos malware που παρουσιάζει πολλές ομοιότητες με τις παλαιότερες εκδόσεις εκτός από την ικανότητά του να στοχεύει σε συγκεκριμένους MySQL διακομιστές. Η επιλογή των MySQL servers ως στόχους των επιθέσεων δεν αποτελεί έκπληξη, αυτό το είδος του μηχανήματος είναι πολύ δημοφιλές και συνήθως έχουν μεγάλο εύρος ζώνης που μπορεί να αξιοποιηθεί για να ξεκινήσει DDoS επιθέσεις.
Οι περισσότερες επιθέσεις που παρατηρήθηκαν από τη Symantec και έχουν παραβιάσει servers είναι στην Ινδία, την Κίνα, τη Βραζιλία και την Ολλανδία.
Οι ειδικοί εξήγησαν ότι οι επιθέσεις εναντίον των MySQL servers ξεκινά με injection μιας κακόβουλης λειτουργίας που ορίζεται από το χρήστη (user-defined function – UDF) που κατεβάζει και τα υπόλοιπα «κομμάτια» του Chikdos Trojan από ενσωματωμένες URL διευθύνσεις. Σε ορισμένες περιπτώσεις, ο downloader προσθέτει ένα νέο λογαριασμό χρήστη στο μηχάνημα.
Η Symantec αναφέρει: «Η ανάλυσή μας διαπίστωσε ότι οι διακομιστές που έχουν παραβιαστεί χρησιμοποιήθηκαν για να ξεκινήσει επιθέσεις DDoS εναντίον μιας κινέζικης IP διεύθυνσης και ενός αμερικάνικου παρόχου φιλοξενίας (hosting provider).»
Οι UDF είναι υπο-ρουτίνες που αποτελούνται από περισσότερες Transact-SQL statements που μπορεί να χρησιμοποιηθούν για την ενθυλάκωση κώδικα για επαναχρησιμοποίηση και που κατά κανόνα επιτρέπουν να επεκτείνεται η λειτουργικότητα ενός διακομιστή MySQL.
Παρά το γεγονός ότι συνήθως οι UDF εισάγονται με injection στις επιθέσεις SQL-injection, στην περίπτωση που αναλύθηκε από την Symantec οι εμπειρογνώμονες δεν έχουν σαφή εικόνα της διαδικασίας μόλυνσης. Πιθανά σενάρια είναι η χρήση αυτόματων σαρώσεων ή malware που έθεσαν σε κίνδυνο τους διακομιστές και εγκατέστησαν τις UDF.
Ως στρατηγική μετριασμού, οι ειδικοί προτείνουν την αποφυγή, στο μέτρο του δυνατού, το να τρέχουν διακομιστές SQL με δικαιώματα διαχειριστή και επιτρέψτε μου να σας υπενθυμίσω να patch-άρετε τις εφαρμογές που βασίζονται στους διακομιστές SQL.
