50 000 Serveurs MS-SQL et PHPMyAdmin infectés par un rootkit

Les chercheurs en cybersécurité de Guardicore Labs ont publié un rapport détaillé sur une campagne de cryptojacking ciblant les serveurs Windows MS-SQL et PHPMyAdmin dans le monde entier.

phpMyAdmin (PMA) est une application Web de gestion pour les systèmes de gestion de base de données MySQL réalisée principalement en PHP et distribuée sous licence GNU GPL.

Il s’agit de l’une des plus célèbres interfaces pour gérer une base de données MySQL sur un serveur PHP. De nombreux hébergeurs, gratuits comme payants, le proposent ce qui évite à l’utilisateur d’avoir à l’installer. Cette interface pratique permet d’exécuter, très facilement et sans grandes connaissances en bases de données, des requêtes comme les créations de table de données, insertions, mises à jour, suppressions et modifications de structure de la base de données, ainsi que l’attribution et la révocation de droits et l’import/export. Ce système permet de sauvegarder commodément une base de données sous forme de fichier .sql et d’y transférer ses données, même sans connaître SQL.

Microsoft SQL Server est un système de gestion de base de données (SGBD) en langage SQL incorporant entre autres un SGBDR (SGBD relationnel ») développé et commercialisé par la société Microsoft. Il fonctionne sous les OS Windows et Linux (depuis mars 2016), mais il est possible de le lancer sur Mac OS via Docker, car il en existe une version en téléchargement sur le site de Microsoft

Nommé Nansh0u, la campagne aurait apparemment été lancé par un groupe Chinois qui a infecté près de 50 000 serveurs et installé un rootkit sophistiqué sur les systèmes compromis pour empêcher la détection du malware.

La campagne date du 26 Février mais a été détecté au début du mois d’Avril. Au moins 20 différents payload ont été découvert.

Détails de l’attaque sur serveurs MS-SQL et PHPMyAdmin

L’attaque se repose sur une technique de force-brute après avoir trouvé des serveurs MS-SQL et PHPMyAdmin en utilisant un scanner de port.

Après une authentification réussie avec des privilèges d’administrateur, les hackers exécutent une séquence de commandes MS-SQL sur le système compromis pour télécharger des payload malveillants depuis un serveur de fichier distant et l’exécuter avec des privilèges SYSTEM.

En arrière plan, le payload se sert d’une vulnérabilité d’élévation de privilèges connue (CVE-2014-4113) pour obtenir des privilèges SYSTEM sur les systèmes compromis.

“En utilisant les privilèges Windows, l’exploit injecte du code dans le processus Winlogon. Le code injecté crée un nouveau processus qui hérite des privilèges SYSTEM de Winlogon.”

Le payload installe ensuite un malware de minage de cryptomonnaie sur les serveurs compromis pour miner la cryptomonnaie TurtleCoin.

“Nous avons découvert que le driver avait une signature digitale délivrée par Verisign. Le certificat – qui est expiré – porte le nom d’une fausse entreprise Chinoise – Hangzhou Hootian Network Technology.”

Les chercheurs ont aussi partagé une liste complète d’IoC (indicateurs de compromis) et un script PowerShell que les administrateurs Windows peuvent utiliser pour vérifier si leurs systèmes sont infectés ou pas.

L’attaque se repose sur la faiblesse du login et du mot de passe des serveurs MS-SQL et PHPMyAdmin. Il est donc recommander d’utiliser des mots de passe complexes.

Si cet article vous a plu, jetez un œil à notre précédent article.