Продолжающиеся атаки на серверы MySQL: угрозы и методы защиты
Источник: asec.ahnlab.com
Аналитический центр безопасности AhnLab (ASEC) предупреждает о волне атак на серверы MySQL, которые особенно опасны для плохо защищённых и имеющих открытый доступ в Интернет систем. Злоумышленники активно эксплуатируют уязвимости таких серверов, что приводит к быстрому распространению вредоносного ПО в Южной Корее и потенциально в других регионах.
Основные методы атак и используемые вредоносные инструменты
В фокусе атак — сервера MySQL, используемые как в Linux-средах, так и в установках на базе Windows. Это расширяет зону риска, поскольку уязвимости в MySQL аналогичны тем, что наблюдаются и в MS-SQL серверах.
Ключевые векторы атак включают:
- Сканирование открытых портов MySQL (в основном 3306/TCP).
- Атаки методом перебора паролей и словарные атаки для взлома учётных записей.
- Установку пользовательских функций (UDF), содержащих вредоносные команды на сервере.
Используемое вредоносное ПО отличается сложностью и функциональностью, среди которых выделяются:
- Gh0stRAT — в последних вариантах оснащён инструментом для повышения привилегий (на базе UACMe) и средствами скрытого захвата экрана.
- AsyncRAT
- Ddostf — DDoS-бот
- XWorm — превратившийся в RAT, способный похищать учётные данные, организовывать DDoS-атаки и распространяться через USB-устройства.
- HpLoader
- Эксплойты для законного ремоут-менеджмента Zoho ManageEngine, используемые в качестве постоянных точек проникновения.
Механизм внедрения вредоносного ПО и его функции
После успешного перебора паролей злоумышленники разворачивают вредоносные UDF-библиотеки, которые позволяют выполнять на сервере произвольные команды. Эти библиотеки могут загружать и запускать файлы с удалённых URL, включая вредоносные полезные нагрузки, что подтверждается историей загрузок Gh0stRAT.
Установка агента UEMS (Единой системы управления конечными точками) также была отмечена в ходе атак. Dropper автоматически устанавливает этого агента на скомпрометированные серверы, используя техники обхода средств защиты и устанавливая соединения с управляющими доменами для загрузки дополнительных компонентов.
Роль коммерческих инструментов в атаках
Особое внимание заслуживает использование злоумышленниками легитимных инструментов удалённого управления, таких как Zoho ManageEngine. В отличие от традиционных методов использования бэкдоров, киберпреступники закрепляются в системах через эксплуатацию уязвимостей этих инструментов, обеспечивая долгосрочный контроль над инфраструктурой жертвы.
Рекомендации для администраторов серверов MySQL
Для снижения риска успешных атак необходимо применять комплексный подход к безопасности, который включает:
- Ограничение внешнего доступа к портам MySQL, особенно 3306/TCP.
- Использование надежных методов управления паролями и учетными записями, включая внедрение сложных и уникальных паролей.
- Минимизацию привилегий для учётных записей базы данных — принцип необходимости доступа.
- Регулярное обновление операционной системы, MySQL и хоста с установкой последних патчей безопасности.
- Мониторинг подозрительной активности на сервере, включающей попытки подключения, нестандартные загрузки и сетевой трафик.
Стратегический и систематический подход к обеспечению безопасности серверов MySQL является ключом к защите от текущих сложных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
