Thema: Wurm verbreitet sich per MySQL

[SiLæncer]

Schwache Root-Passwörter öffnen Wurm die Tür

Das SANS Internet Storm Center (ISC) warnt vor einem neuen "Bot" der sich über MySQL verbreitet. Der Wurm sucht auf dem MySQL-Port 3306 nach Opfern, die, einmal infiziert, über einen IRC-Server mit weiteren Instruktionen versorgt werden.

Der Wurm befällt nur Windows-Systeme und verbindet sich anschließend mit einem IRC-Server, sucht aber zudem im Netz auch nach weiteren potenziellen Opfern. Dabei nutzt der Wurm den "MySQL UDF Dynamic Library Exploit", heißt es seitens des SANS ISC.

Um dabei aber zum Erfolg zu kommen, muss sich der Wurm als Nutzer "root" bei MySQL anmelden. Dazu ist er mit einer Liste von Passwörtern ausgestattet, die er einfach ausprobiert um so Zugang zum Server zu erhalten. Anschließen legt er eine Tabelle "bla" in der Datenbank "mysql" an, die bei MySQL standardmäßig vorhanden ist. Die Tabelle füllt er mit einem BLOB-Feld namens "line".

Anschließend schreibt sich der Wurm in die Datenbank, lässt sich dann als Datei namens "app_result.dll" ausgeben und löscht die Tabelle wieder. Er legt zudem eine MySQL-Funktion namens "app_result" an, die dann die zuvor gespeicherte "app_result.dll" verwendet, heißt es in der SANS-Beschreibung. Letztendlich führt sich der Wurm selbst aus.

Eine wirkliche Schwachstelle in MySQL wird dabei nicht ausgenutzt, vielmehr zielt der Wurm auf schwache Root-Passwörter in MySQL ab. Daher sollte zum einen ein entsprechen sicheres Passwort verwendet werden, zudem ist es ratsam, nur lokale Zugriffe auf den Root-Account zuzulassen.

Quelle : www.golem.de

[SiLæncer]

auch hier nochmal :

Wurm bricht in unsichere MySQL-Datenbanken unter Windows ein

Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL-Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruieren die Server den mit Bot-Funktionen ausgestatteten Wurm, nur nach weiteren angreifbaren Systemen zu suchen und in sie einzudringen. Bislang sollen über 8500 Systeme weltweit befallen sein.

Der Bot nutzt den Ende Dezember veröffentlichten MySQL UDF Dynamic Library Exploit, um in eine Tabelle geschriebenen Code mittels User Defined Functions auszuführen. Vorher muss der Bot sich allerdings über das Netzwerk mit dem MySQL-Server auf Port 3306 verbinden und anmelden. Standardmäßig ist eigentlich nur eine lokale Anmeldung (localhost) an den Server möglich. Zusätzlich muss er das Passwort des Root-Accounts der MySQL-Datenbank knacken. Dazu probiert er zunächst eine lange Wörterliste aus, ehe er zu einem Brute-Force-Angriff übergeht. Ist er mit der Datenbank verbunden, erzeugt er die Tabelle "bla" und kopiert ausführbaren Code hinein. Anschließend schreibt er mit dem Kommando:

'select * from bla into dumpfile "app_result.dll"'

diese Library auf die Festplatte und löscht die Tabelle "bla". Um "app_result.dll" nun zu starten, erzeugt der die User Defined Function app_result, die die Library aufruft und eine neue Instanz (Spoolcll.exe) des Bot/Wurms zum Leben erweckt. Läuft MySQL mit System-Rechten, so erbt der Bot diese beim Aufruf.

Nach Angaben des ISC sind bereits einige IRC-Server, die die Schädlinge steuern, abgeschaltet. Der Channel, zu dem sich der Bot über die Ports 5002 und 5003 verbindet heißt #rampenstampen. Der als Variante des WootBot identifizierte Schädling trägt neben Funktionen zum Ausspähen des Systems auch Funktionen für Distributed-DoS-Attacken, Scanner, FTP-Server und eine weitere Backdoor auf den TCP-Ports 2301 und 2304 in sich.

Anwender sollten ihre MySQL-Installation auf verdächtige Aktivitäten hin untersuchen. Das ISC weist explizit darauf hin, dass keine Schwachstelle in MySQL die Ursache für die Einbrüche von Wootbot sind, sondern allein fehlerhafte Konfigurationen und schwache Passwörter. Da die meisten Datenbank von Skripten und Anwendungen abgefragt werden, die auf demselben Server laufen, lässt sich in vielen Fällen die Netzwerkbindung problemlos lösen. Wo dies nicht möglich ist und auch eine Firewall nicht schützen kann, sollten Administratoren die Qualität des Root-Passwortes der Datenbank prüfen.

Quelle : www.heise.de

[SiLæncer]

Die Webseite Mysql.com ist vorübergehend mit Schadsoftware infiziert worden. Besucher der Webseite wurden auf eine weitere Webseite umgeleitet, die wiederum versuchte über Schwachstellen im Browser Malware auf die Rechner des Opfers zu installieren.

Mysql.com wurde mit der Javascript-Schadsoftware mwjs159 infiziert. Besucher der infizierten Webseite wurden auf eine weitere umgeleitet, die wiederum den Browser eines Opfers auf Schwachstellen untersuchte und versuchte Malware auf deren Rechner zu installieren. Inzwischen soll die Malware auf Mysql.com wieder entfernt worden sein.

Das Sicherheitsunternehmen Armorize entdeckte die Malware um etwa 14 Uhr MESZ am Montag, den 26 September 2011. Um 20 Uhr MESZ sei die Malware entfernt worden, schreibt Wayne Huang, Chef von Armorize. Sein Unternehmen analysierte den Drive-By-Download-Angriff und meldete, dass auf dem Malware-Server, auf den das Opfer umgeleitet wurde, das Blackhole Exploit Pack installiert war. Diese Schadsoftware untersucht den Browser und Plugins auf Schwachstellen und installiert über diese weitere Schadsoftware auf dem Rechner des Opfers. Dieser bekommt davon nichts mit, denn mwjs159 öffnet unbemerkt ein Iframe, über das auf die Webseite des Angreifers umgeleitet wird.

Armorize verfolgte die Umleitung über Server in Deutschland und Schweden. Das Sicherheitsunternehmen wurde auf die Sicherheitslücke aufmerksam, weil in russischen Hacker-Foren jüngst der Zugang zu Mysql.com für 3.000 US-Dollar angeboten wurde. Welche Schadsoftware auf den angegriffenen Rechnern installiert werden sollte, konnte Armorize bislang nicht ermitteln.

Laut dem Sicherheitsunternehmen Sucuri Security wird die Malware mwjs159 über kompromittierte FTP-Zugänge verbreitet. Erst im März 2011 hatte ein Hacker gemeldet, über SQL-Injection Zugriff auf die Server von Mysql.com erhalten und dort unter anderem Passwörter ausgelesen zu haben. Möglicherweise konnten die damals erbeuteten Informationen für den jüngsten Angriff genutzt worden sein.

Oracle, der Betreiber der Webseite, hat sich bislang noch nicht zu dem Vorfall geäußert.

Quelle : www.golem.de