Wie Sicherheitsexperten von Symantec herausgefunden haben, infizierten Hacker weltweit MySQL-Server mit einem Trojaner, der DDOS-Attacken ausführt. Dabei verwendeten sie eine neuartige Methode.
Wie die Experten von Symantec in diesem Blogpost erläutern, sind vor allem Datenbankserver in Indien (25 Prozent), China (15 Prozent) und Brasilien (9 Prozent) betroffen. In Europa konzentrieren dich die Angriffe auf die Niederlande (9 Prozent) und Italien (4 Prozent).
Die Schadsoftware, der Trojaner Chikdos.A, ist nicht neu, sondern tauchte bereits 2013 auf. Neu ist aber der Infektionsweg. Die Angreifer nutzen diesmal ein Feature von MySQL aus, das es erlaubt die Datenbank mit kompilierten Erweiterungen, so genannten User Defined Functions (UDF), zu erweitern. Über eine SQL Injection schmuggeln die Hacker den Schadcode als UDF in die Datenbank und speichern den Code dann mittels des DUMP-Kommandos als Bibliothek ab, die der MySQL-Prozess später verwendet. Varianten so infizierter DLLs finden sich in /lib, /lib/plugin oder /bin. Unter Windows verändern die Angreife außerdem etliche Keys in der Registry.
Die Security-Experten von Symantec glauben, dass sich die Hacker deswegen MySQL-Server als Ziel ausgesucht haben, weil die oft über eine große Bandbreite verfügen, die dann den DDoS-Angriffen des Trojaners zur Verfügung steht. Außerdem bietet MySQL als überaus beliebtes Datenbanksystem viele potenzielle Angriffsziele.
Ich möchte hier darauf hinweisen das das Verfahren keinesfalls neu ist. Es exisitiert bereits seit Jahren ein “helper” für diesen Angriffsvektor der genau genommen ja keine exploitation darstellt: http://0xdeadbeef.info/ –>> raptor_udf.c + raptor_udf2.c.Wieder einmal baut dies aber auf fatal falsch konfigurierten Diensten auf, in diesem Fall MYSQL unter root.