Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware Chikdos sfrutta server MySQL per lanciare attacchi DDoS

Chikdos  denial-of-service  MySQL  trojan   venerdì, 30 ottobre 2015

I ricercatori di sicurezza di Symantec hanno scoperto una nuova variante del malware Chikdos, utilizzato dagli attaccanti per compromettere server MySQL con lo scopo di condurre attacchi DDoS (Distributed Denial of Service) contro altri bersagli.

L’attacco avviene iniettando inizialmente una User-Defined Function (UDF) malevola nel server con funzione di downloader (Downloader.Chikdos). Quando la UDF viene eseguita da MySQL su server Windows, questa va a modificare diverse voci di registro per abilitare i servizi di accesso remoto (Terminal Services) che vengono quindi sfruttati per scaricare da remoto il malware responsabile del DDoS, identificato da Symantec come una variante di Trojan.Chikdos.A.

La possibilità di definire funzioni d’utente è una caratteristica estremamente versatile dell’applicazione server MySQL e fornisce un meccanismo che permette agli sviluppatori di estendere le funzionalità di questo DBMS per soddisfare particolari esigenze applicative.

Stando a quanto riportato da Symantec, la maggior parte dei server compromessi si trova in India (25%), seguita da Cina (15%), Brasile (9%), Paesi Bassi (9%) e USA (8%). Gli attacchi hanno interessato un indirizzo IP cinese e un hosting provider americano.

Grafico a torta delle percentuali di infezioni di Chikdos per paese.

Percentuali di infezioni di Chikdos per paese.
Immagine © 2015 Symantec Corporation

Le motivazioni che hanno spinto i creatori di Chikdos a prendere di mira i server MySQL risiedono nella larga diffusione di questo applicativo (MySQL è il secondo DBMS relazionale più diffuso al mondo, dietro Oracle) e nell’ampiezza di banda tipicamente a disposizione di questo tipo di server, che consente di lanciare campagne di attacchi DDoS più ampie.

Chikdos non è una novità nel panorama del malware, in quanto era già stato documentato nel dicembre 2013. In questa nuova campagna di infezioni, gli attaccanti hanno presumibilmente utilizzato strumenti di scansione automatici o, forse, un worm, per compromettere i server MySQL e installare la UDF malevola, probabilmente sfruttando vulnerabilità di tipo SQL injection. In realtà, l’esatto vettore di infezione non è stato identificato con certezza.

Per proteggersi da questo tipo di attacchi, è buona pratica configurare, ove possibile, i server SQL per essere eseguiti con privilegi non elevati. Le applicazioni che utilizzano il server SQL debbono essere regolarmente aggiornate per limitare i rischi legati a vulnerabilità SQL injection.

Notizie correlate

Vulnerabilità multiple in Samba

22 gennaio 2020

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di media gravità in Samba, la più grave delle quali può causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (gennaio 2020)

10 gennaio 2020

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamento di sicurezza Android (gennaio 2020)

7 gennaio 2020

Google ha rilasciato l'aggiornamento di sicurezza di gennaio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto