Il y a quelques jours, Symantec a découvert une campagne d’attaques ciblant les serveurs MySQL. La particularité de ces attaques est que celles-ci utilisent les serveurs MySQL pour relayer des attaques de déni de service distribué (DDoS) vers des sites web.Nous rappelons que les attaques DoS Distribuées sont des attaques de déni de service qui s’appuient sur d’autres ressources pour multiplier leurs puissances afin de rendre un réseau inaccessible.
Pour que ces attaques DDoS découvertes par Symantec puissent s’opérer, les auteurs injectent dans les serveurs MySQL une fonction définie par l’utilisateur (UDF) malicieuse. Cette fonction se nomme Downloader.Chikdos et demeure sur le système de fichiers du serveur. C’est cette dernière qui va télécharger la charge utile qui n’est autre que le malware Chikdos.
Lorsque Downloader.Chikdos est exécuté, elle modifie les entrées du registre comme suit afin d’avoir accès au composant Terminal Services du système.
| Code : | Sélectionner tout |
1 2 3 4 5 6 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2” HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1” HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0” |
Chikdos a été recensé pour la première fois en 2013 par CERT. À cette époque, la variante connue était celle du cheval de Troie que des tiers malveillants utilisaient pour lancer des attaques de déni de service distribué (DDoS).
« Dans la dernière campagne Chikdos que nous avons observée, les assaillants ont vraisemblablement utilisé un scanner automatisé ou peut-être un ver pour compromettre les serveurs MySQL et installer la fonction définie par l’utilisateur (UDF). Toutefois, le vecteur d’infection exact n’a pas été identifié. Une fois que les serveurs ont été infectés, l’UDF télécharge un outil DDoS, qui est une variante de Trojan.Chikdos.A », rapporte Symantec.
Selon l’entreprise de sécurité, MySQL a été ciblé afin de disposer d’un nombre important de ressources et par-delà lancer une plus vaste attaque DDoS dans la mesure où MySQL est désigné comme le second gestionnaire de bases de données le plus populaire au monde.
En parcourant ces outils de télémétrie, Symantec a pu détecter que la plus grande partie de ces attaques ont été menées sur des serveurs MySQL en Inde (25 %) suivie de la Chine (15 %), le Brésil (9 %), la Chine (9 %), les États-Unis (8 %), la Corée du Sud (6 %), le Mexique (5 %), le Canada (4 %), l’Italie (4 %), la Malaisie (2 %), le Nigeria (1 %), la Turquie (1 %) et les autres (11 %).
Pour s’en prémunir, Symantec souligne que « les serveurs SQL ne devraient pas être exécutés avec des privilèges administrateur dans la mesure du possible. Les applications qui utilisent le serveur SQL doivent être corrigées régulièrement et suivre de bonnes pratiques de programmation pour atténuer les vulnérabilités d’injection SQL ». Enfin, l’entreprise conseille de « vérifier la présence de nouveaux comptes utilisateurs et de veiller à ce que les services d’accès à distance soient configurés en toute sécurité ».
Source : Blog Symantec
Et vous ?
Que pensez-vous de ces attaques ?Voir aussi
Forum Sécurité 
