投稿者:Ayush Anand
我們發現鎖定 MySQL 伺服器的惡意程式會令它們對其他網站執行分散式阻斷服務 (DDoS) 攻擊。攻擊者一開始會將惡意的使用者定義功能 (Downloader.Chikdos) 溢注至伺服器中,以便利用 Trojan.Chikdos.A DDoS 惡意程式加以入侵
根據賽門鐵克的遙測,大多數遭到入侵的伺服器都位於印度,其次分別是中國、巴西及荷蘭。
圖.依不同地區感染Downloader.Chikdos 和 Trojan.Chikdos.A 的情況
我們的分析發現,遭到入侵的伺服器被用來對一個中國的 IP 位址和一個美國的託管供應商發動 DDoS 攻擊。
利用惡意的使用者定義功能
使用者定義功能 (user-defined function,簡稱 UDF) 是一種經過編譯的程式碼,可在 MySQL 中呼叫,以便完成某些資料庫管理系統無法提供的功能。UDF 在伺服器的檔案系統中是以檔案的形式存在。
利用惡意的 UDF 來取得存取 MySQL 伺服器權限的手法並非首見。在這份報告中,Matthew Zimmerman 就詳盡地記錄了這種手法。在該技巧中,攻擊者會建立一個可進行某些惡意活動的 UDF,例如下載惡意程式或建立遠端命令介面 (remote shell)。然後攻擊者會透過 SQL 溢注攻擊將該 UDF 安裝在目標 MySQL 伺服器上。
如果攻擊者能夠執行 SQL 指令,他們接著就會利用 DUMP 參數有效地將 UDF 檔上傳至系統,然後就能載入 MySQL 了。之後再執行 UDF,然後攻擊者建立的任何惡意程式碼就能執行了。
Chikdos 攻擊伎倆
在 2013 年 12 月時,Chikdos 首次被 CERT.PL 記錄下來,該威脅當時被發現它的攻擊目標同時鎖定 Linux 和 Windows。Linux 版本被安裝在受到 Secure Shell (SSH) 字典攻擊的電腦上。
在最近一次的 Chikdos 攻擊活動中,我們觀察到攻擊者可能是使用自動掃描工具或病蟲來入侵 MySQL 伺服器,然後再安裝 UDF。不過,真正的感染媒介尚未確認。一旦伺服器受到感染,UDF 就會下載一個屬於 Trojan.Chikdos.A 變種的 DDoS 工具。
Downloader.Chikdos
Downloader.Chikdos 通常會隨機命名為 .dll 檔。它們可能會位在以下安裝了 MySQL 伺服器的子目錄中:
當它透過 MySQL 執行下載工具時,它會修改成以下的登錄項目,以便啟用 TerminalServices:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”
TerminalServices 能夠讓使用者由遠端控制電腦或伺服器。一旦攻擊取得此存取權限,他們的惡意程式就會從該惡意程式中以硬式編碼加入的網址下載檔案。
我們分析的樣本下載了兩個檔案。修改過的下載工具版本在系統中新增了一個叫「qianhua」的使者者。
樣本下載的兩個檔案都是 Trojan.Chikdos 的變種程式。它們似乎是託管在兩個遭到入侵的網站上。我們猜測這兩個網站是用來降低其中某一個網站被該託管伺服器的合法擁有者停用的風險。
Trojan.Chikdos.A
經分析,Trojan.Chikdos.A 變種和先前所述的 CERT.PL 大同小異。我們是從樣本中的 PDB 字串來判斷該威脅的變種。PDB 字串中包含了「Chicken」的值。
我們發現的 Chikdos 有效指令與控制 (C&C) 伺服器如下:
- 183.60.202.16:10888
- 61.160.247.7:10991
- 103.17.118.124:10991
為什麼攻擊者會利用 SQL 伺服器?
由於 Trojan.Chikdos.A 是利用受感染的系統來發動 DDoS 攻擊,我們相信,攻擊者入侵 MySQL 伺服器的目的是為了它們的大頻寬。相較於利用傳統的消費者電腦,利用這些資源,攻擊者才能發動規模更大的 DDoS 攻擊活動。
此外,MySQL 也是全球市占率第二大的資料庫管理系統,因此可提供攻擊者更多潛在目標。
風險緩和策略
要防止此類攻擊,如果可能的話,就不要以系統管理員權限來執行 SQL 伺服器。使用 SQL 伺服器的應用程式應定期更新修補程式,並遵循良好的程式撰寫實務,以減少 SQL 溢注漏洞。檢查新增使用者帳號是否真正存在,並確保遠端存取服務的設定安全無虞。
防護方法
諾頓網路安全、Symantec Endpoint Protection 及其他賽門鐵克安全產品 可透過以下偵測保護使用者避免這些威脅:
這些威脅的雜湊如下:
Downloader.Chikdos 雜湊
- 4c3750006f7b2c19dcddc79914ef61e0
- 4e4b5502bd47cf6a107793712f14a78f
- bb875b959263cd5b271c78a83c718b04
Trojan.Chikdos.A 雜湊
- d0ffdc99d282d81afa828ad418f4301e
- 1d0c7d3484cf98b68ad6a233e3529ebe