En "bot" som utnytter databasesystemet MySQL installert på Windows-maskiner, er blitt oppdaget denne uken. Ifølge SANS' Internet Storm Center var det i går kveld blitt registrert noen få tusen smittetilfeller. Typisk for slike bot-er, vil de infiserte systemene knytte seg til en IRC-server. Denne serveren vil så instruere de smittede systemene til å lete etter andre sårbare MySQL-servere, ofte i det samme lokalnettet, på baksiden av brannmuren.
Bot-en, som kalles av ulike aktører for MySQL Bot, MySpooler, W32.Spybot.IVQ eller W32.Sdbot-AWE.worm. Den skal benytte en funksjonalitet i MySQL på en måte som kalles "MySQL UDF Dynamic Library Exploit". For å utnytte sårbarheten må bot-en først autentisere seg for MySQL som "root"-bruker. Dette gjøres ved hjelp av en omfattende passordliste og "brute force"-forsøk. Det skal være brukerkontoer med svake passord som er i faresonen.
Så snart bot-en har fått tilgang, vil den opprette en tabell med navnet "bla" i databasen "mysql". Denne databasen finnes i alle MySQL-installasjoner og benyttes for å lagre informasjon om brukere, passord og rettigheter. Tabellen skal kun ha ett felt, "line", av typen BLOB.
Så snart tabellen er opprettet, vil den kjørbare delen av bot-en bli skrevet inn i tabellen ved hjelp av en INSERT-setning. Deretter skrive innholdet til en fil som kalles "app_result.dll" ved å bruke 'select * from bla into dumpfile "app_result.dll" '. Tabellen blir slettet så snart filen er blitt opprettet.
For å kunne kjøre "app_result.dll", oppretter bot-en en MySQL-funksjon som kalles "app_result", som tar i bruk DLL-filen som er blitt opprettet. Denne funksjonen kjøres, noe som fører til at bot-en lastes og kjøres.
Deretter vil bot-en forsøke kontakte én av en rekke IRC-servere. Enkelte er nå blitt gjort utilgjengelige takket være tilbydere av dynamiske DNS-tjenester.
Bot-en vil knytte seg til IRC-serveren via portene 5002 eller 5003. Får bot-en tilgang, vil den melde seg på kanalen "#rampenstampen" ved å bruke nøkkelen "gratisporn". Emnet for kanalen har blant annet vært satt til å være "!adv.start mysql 80 10 0 132.x.x.x -a -r -s". Dette vil instruere bot-en til å skanne tilfeldige IP-adresser i segmentet "132.0.0.0/8". Emnet skal etter det SANS har observert, skiftes ut med jevne mellomrom.
Bot-en skal også sette opp en FTP-server og en bakdør som i hvert fall lytter til TCP-portene 2301 og 2304.
SANS understreker at den fundamentale svakheten bot-en utnytter, er svake "root"-passord.
Fra enkelte andre sikkerhetsselskaper er det kommet til dels motstridende informasjon om denne bot-en. Blant annet hevder Virus112 at også Microsofts SQL Server er utsatt.
For å forhindre angrep, anbefaler SANS de følgende metodene:
- Velg sterke passord, det vil si passord som er vanskelige å gjette seg fram til. Passordene bør ikke være for korte, og heller ikke bare bestå av tall og bokstaver.
- Begrens tilgangen til root-kontoen. Tilknytninger til alle kontoer i MySQL kan begrenses til utvalgte datamaskiner. Dette er spesielt viktig for "root"-kontoen. Hvis mulig bør tilgangen til denne kontoen begrenses til den samme maskinen MySQL er installert på (localhost).
- Port 3306 i brannmurer mot Internett bør ikke være åpne for alle. Skal MySQL-trafikk sendes via Internett, bør SSH-forwarding eller SSL-forbindelser benyttes.
