هدف قرار دادن کارگزارهای در حال اجرای خدمات پایگاه داده توسط نفوذگرها به‌منظور استخراج ارز مجازی

پژوهشگران امنیتی چندین حمله‌ی راه‌اندازی شده توسط یک گروه از نفوذگران چینی که در سراسر جهان فعالیت می‌کنند، را کشف کرده‌اند، که کارگزارهای پایگاه داده را به‌ منظور استخراج ارز مجازی، استخراج داده‌های حساس و ایجاد یک بات‌نت حملات منع سرویس توزیع‌شده یا DDoS هدف قرار می‌دهند.

 

پژوهشگران شرکت امنیتی GuardiCore Labs هزاران حمله‌ی راه‌اندازی شده در ماه‌های اخیر را تجزیه و تحلیل کرده و حداقل سه نوع حمله‌ی Hex، Hanako و Taylor را که کارگزارهای مختلف مایکروسافت  SQL و MySQL برای ویندوز و لینوکس را هدف قرار می‌دهند، شناسایی کرده‌اند.

 

اهداف این سه نوع حمله متفاوت است. حمله‌ی Hex استخراج‌کننده‌های ارز مجازی و تروجان‌های دسترسی از راه دور (RATها) را بر روی دستگاه‌های آلوده نصب می‌کند، حمله‌ی Taylor یک کی‌لاگر و یک دربِ پشتی را نصب می‌کند و حمله‌ی Hanako از دستگاه‌های آلوده برای ایجاد یک بات‌نت DDoS استفاده می‌کند.

 

تاکنون، پژوهشگران هر ماه صدها حمله‌ی Hex و Hanako و ده‌ها هزار حمله‌ی Taylor را ثبت کرده و متوجه شدند که بیشتر دستگاه‌های آسیب‌دیده در چین و برخی از آن‌ها در تایلند، آمریکا، ژاپن و دیگر کشورها قرار دارند.

 

برای دستیابی به دسترسی غیرمجاز به کارگزارهای پایگاه داده‌ی مورد هدف، مهاجمان از حملات جستجوی فراگیر استفاده کرده و سپس یک سری از دستورات SQL از پیش تعریف شده را برای دستیابی به دسترسی مداوم و گریز از گزارش‌های حساب‌رسی اجرا می‌‌کنند.

 

برای راه‌اندازی این حملات علیه کارگزارهای پایگاه داده و به‌کار بردن پرونده‌های مخرب، مهاجمان از شبکه‌ای از سامانه‌های به خطر افتاده‌ی موجود استفاده می‌کنند، زیرساخت حملات خود را به‌صورت مدولار ایجاد کرده و از حذف فعالیت‌های مخرب خود ممانعت به‌عمل می‌آورند.

 

برای دستیابی به دسترسی مداوم به پایگاه داده‌ی قربانی، این سه نوع حمله (Hex، Hanako و Taylor) کاربران دربِ پشتی را در پایگاه داده ایجاد کرده و شماره‌ی درگاه دسترسی رومیزی راه دور را باز می‌کنند، این امر به مهاجمان اجازه می‌دهد که مرحله‌ی بعدی حمله‌ی خود، استخراج‌کننده‌ی ارز مجازی، تروجان دسترسی از را دور (RAT) یا ایجاد یک بات‌نت DDoS، را از راه دور بارگیری و نصب کنند.

 

پژوهشگران در پست وبلاگی خود که هفته‌ی گذشته منتشر کردند، نوشتند: «پس از این حمله، مهاجم با اجرای دستورات محافظ، انواع برنامه‌های ضدبدافزار و نظارتی را متوقف یا غیرفعال می‌کند. ضدبدافزارهای مورد هدف، ترکیبی از محصولات شناخته شده مانند Avira و Panda Security و نرم‌افزارهای niche مانند Quick Heal و BullGuard است.»

 

در نهایت، مهاجمان برای پنهان کردن اثرات خود، هرگونه رجیستری، پرونده و ورودی پوشه‌ی غیرضروری ویندوز را با استفاده از پرونده‌های دسته‌ای از پیش تعیین شده و اسکریپت‌های ویژوال بیسیک حذف می‌کند.

 

مدیران به‌منظور بررسی این موضوع که آیا توسط نفوذگرهای جنایی چینی در معرض خطر قرار دارند یا خیر، باید وجود نام‌های کاربری زیر را در پایگاه داده یا سامانه‌ی خود بررسی کنند:

•hanako

•kisadminnew1

•401hk$

•Guest

•Huazhongdiguo110

 

برای جلوگیری از به خطر افتادن سامانه‌های شما، پژوهشگران به مدیران توصیه می‌کنند که علاوه بر داشتن گذرواژه‌ی قوی برای پایگاه‌های داده‌، همیشه راهنماهای مقاوم‌سازی پایگاه‌های داده (که توسط MySQL و مایکروسافت ارائه شده‌اند) را دنبال کنند.

 

پژوهشگران توصیه می‌کنند: «درحالی‌که دفاع در برابر این نوع از حملات - وصله کردن کارگزارها و استفاده از گذرواژه‌های قوی - ممکن است ساده یا بی‌اهمیت به‌نظر برسد، اما در زندگی واقعی، همه‌چیز بسیار پیچیده‌تر است. بهترین راه برای به حداقل رساندن قرار گرفتن در معرض پویش‌هایی که پایگاه‌های داده را مورد هدف قرار می‌دهند، کنترل دستگاه‌هایی است که به پایگاه داده دسترسی دارند. به‌طور مرتب فهرست دستگاه‌هایی را که به پایگاه‌های داده‌ی شما دسترسی دارند، بررسی کرده و این فهرست را به حداقل برسانید و به دستگاه‌هایی که به‌طور مستقیم از اینترنت قابل دسترسی هستند، توجه خاصی نشان دهید. هر تلاش اتصال از یک آی‌پی یا دامنه‌ای که به این فهرست تعلق ندارد، باید مسدود شده و مورد بررسی قرار گیرند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید