محققان شرکت امنیتی GuardiCore Labs هزاران حمله را که در ماههای اخیر انجام شدهاند، مورد تجزیه و تحلیل قرار داده و حداقل سه نوع حمله به نامهای Hex، Hanako و Taylor که کارگزارهای مختلف MS SQL و MySQL هر دو سیستمعامل ویندوز و لینوکس را هدف حمله قرار میدهند، شناسایی کردهاند.
هدف این سه نوع حمله با هم تفاوت دارد. Hex کاوندهی ارز رمزنگاریشده و تروجانهای دسترسی از راه دور (RATs) را روی ماشینهای آلوده نصب میکند، Taylor یک دربپشتی و یک ثبتکنندهی صفحهکلید (keylogger) را نصب میکند و Hanako از دستگاههای آلوده برای ساخت یک شبکه بات DDoS استفاده میکند؛ تاکنون محققان صدها حملهی Hex و Hanako و دهها هزار حملهی Taylor را در هرماه ثبت کرده و دریافتهاند اکثر ماشینهای آسیبدیده در چین و برخی دیگر در تایلند، ایالاتمتحده و ژاپن قرار دارند.
جهت دسترسی غیرمجاز به کارگزارهای پایگاه دادهی هدف، مهاجمان از حملات جستجوی فراگیر استفاده میکنند و سپس مجموعهای از دستورات SQL از پیش تعریفشده را جهت دستیابی به دسترسی دایمی و دور زدن ورودیها اجرا میکنند.
در هر سه نوع حملهی گفتهشده (Hex، Hanako و Taylor) برای دسترسی دائمی به پایگاهدادهی قربانی، حسابهای کاربری دربپشتی در پایگاه داده ایجاد و درگاه مربوط به دسترسی از راه دور باز میشود و این کار به مهاجمان اجازه می دهد تا مرحلهی بعدی حملهی خود (یک کاوندهی ارز رمزنگاریشده، تروجان دسترسی از راه دور (RAT) یا یک بات DDoS) را بهصورت از راه دور بارگیری و نصب نمایند.
در نهایت، مهاجمان برای از بین بردن رد پای خود، هرگونه فایل رجیستری و ورودی پوشهی غیرضروری ویندوز را با استفاده از فایلهای batch از پیش تعریفشده و اسکریپتهای Visual Basic حذف میکنند و همچنین مدیران باید نامهای کاربری زیر را در پایگاه داده یا سیستم خود بهمنظور شناسایی اینکه آیا هدف حملهی هکرهای چینی قرار گرفتهاند یا نه، بررسی کنند.
• Hanako • kisadminnew1 • 401hk$ • Guest • Huazhongdiguo110 بهمنظور جلوگیری از به خطرافتادن سیستمها، محققان به مدیران توصیه میکنند که همیشه از راهنماییهای مقاومسازی پایگاههای داده که توسط MySQL و مایکروسافت ارایه شدهاند استفاده کنند.
آنها توصیه میکنند که مدیران مرتباً لیست ماشینهایی را که به پایگاه دادهی آنها دسترسی دارند بررسی کنند و این لیست را به حداقل برسانند. همچنین به ماشینهایی که بهطور مستقیم از اینترنت قابلدسترسی هستند توجه ویژهای داشته باشند و از هرگونه تلاش برای اتصال از IP یا دامنهای که به این لیست تعلق ندارد، جلوگیری کنند.