WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc lây nhiễm, "ghi tên" các máy chủ MySQL vào mạng Botnet DDoS
Các nhà nghiên cứu vừa phát hiện ra một chiến dịch trong đó tin tặc sử dụng mã độc để tấn công vào các máy chủ MySQL, ghi tên chúng vào mạng botnet chuyên khởi phát các cuộc tấn công DDoS.
Theo Symantec, tin tặc có thể sử dụng các lỗ hổng SQL injection (hiện vẫn chưa khẳng định) để lây nhiễm các máy chủ MySQL bằng file UDF đặc biệt (chức năng xác định người dùng). File này sau đó lưu trojan Downloader.Chikdos trên máy chủ.
Do file UDF cho phép máy chủ MySQL thực hiện nhiều thao tác phức tạp hơn trên máy chủ, mà các lệnh SQL thông thường không truy cập được, tin tặc đang sử dụng tập tin UDF để tải về một trojan nguy hiểm hơn là Trojan.Chikdos.A.
Đây là một biến thể của Trojan.Chikdos, chuyên thực hiện các cuộc tấn công DDoS.
Các quản trị web muốn kiểm tra xem mã độc đã lây nhiễm máy chủ của mình hay chưa nên tìm kiếm ngẫu nhiên các file .dll trong các thư mục: Lib, Libplugin, and Bin.
Chiến dịch nhắm vào các nạn nhân ở Mỹ và Trung Quốc
Symantec xác nhận việc khai thác đã diễn ra trên thực tế, và các máy chủ MySQL bị lây nhiễm nhiều nhất được đặt tại Ấn Độ, Trung Quốc, Brazil, Hà Lan và Mỹ.
Các cuộc tấn công DDoS từ các máy chủ MySQL này nhắm mục tiêu vào một nhà cung cấp host có trụ sở tại Mỹ và một địa chỉ IP ở Trung Quốc.
Lý do tin tặc nhắm vào và lây nhiễm các máy chủ MySQL liên quan đến việc có sẵn bộ sưu tập các lỗ hổng MySQL được tiết lộ bởi các nhà nghiên cứu an ninh và các công cụ hack được thiết kế đặc biệt để nhắm vào các lỗ hổng trong máy chủ MySQL.
Ngoài ra, vì các máy chủ MySQL trao đổi lượng lớn dữ liệu với các máy chủ khác trong một hạ tầng IT, chúng thường có băng tần cao hơn, có thể bị khai thác để thực hiện các cuộc tấn công DDoS với một khối lượng lớn hơn so với các máy chủ Web, máy tính, hoặc các thiết bị IoT.
Theo Symantec, tin tặc có thể sử dụng các lỗ hổng SQL injection (hiện vẫn chưa khẳng định) để lây nhiễm các máy chủ MySQL bằng file UDF đặc biệt (chức năng xác định người dùng). File này sau đó lưu trojan Downloader.Chikdos trên máy chủ.
Do file UDF cho phép máy chủ MySQL thực hiện nhiều thao tác phức tạp hơn trên máy chủ, mà các lệnh SQL thông thường không truy cập được, tin tặc đang sử dụng tập tin UDF để tải về một trojan nguy hiểm hơn là Trojan.Chikdos.A.
Đây là một biến thể của Trojan.Chikdos, chuyên thực hiện các cuộc tấn công DDoS.
Các quản trị web muốn kiểm tra xem mã độc đã lây nhiễm máy chủ của mình hay chưa nên tìm kiếm ngẫu nhiên các file .dll trong các thư mục: Lib, Libplugin, and Bin.
Chiến dịch nhắm vào các nạn nhân ở Mỹ và Trung Quốc
Symantec xác nhận việc khai thác đã diễn ra trên thực tế, và các máy chủ MySQL bị lây nhiễm nhiều nhất được đặt tại Ấn Độ, Trung Quốc, Brazil, Hà Lan và Mỹ.
Các cuộc tấn công DDoS từ các máy chủ MySQL này nhắm mục tiêu vào một nhà cung cấp host có trụ sở tại Mỹ và một địa chỉ IP ở Trung Quốc.
Lý do tin tặc nhắm vào và lây nhiễm các máy chủ MySQL liên quan đến việc có sẵn bộ sưu tập các lỗ hổng MySQL được tiết lộ bởi các nhà nghiên cứu an ninh và các công cụ hack được thiết kế đặc biệt để nhắm vào các lỗ hổng trong máy chủ MySQL.
Ngoài ra, vì các máy chủ MySQL trao đổi lượng lớn dữ liệu với các máy chủ khác trong một hạ tầng IT, chúng thường có băng tần cao hơn, có thể bị khai thác để thực hiện các cuộc tấn công DDoS với một khối lượng lớn hơn so với các máy chủ Web, máy tính, hoặc các thiết bị IoT.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: