![Øمله‌ هکرهای چینی به کارگزاران دیتاسنترها/ استخراج اطلاعات Øساس](https://media.mehrnews.com/d/2016/12/21/3/2313840.jpg)
Øمله‌ هکرهای چینی به کارگزاران دیتاسنترها/ استخراج اطلاعات Øساس
به گزارش خبرنگار مهر، مرکز مدیریت امداد Ùˆ هماهنگی عملیات رخدادهای رایانه ای (ماهر) اعلام کرد: Ù…Øققان امنیتی چندین کمپین Øمله را کش٠کرده‌اند Ú©Ù‡ توسط ÛŒ
به گزارش خبرنگار مهر، مرکز مدیریت امداد Ùˆ هماهنگی عملیات رخدادهای رایانه ای (ماهر) اعلام کرد: Ù…Øققان امنیتی چندین کمپین Øمله را کش٠کرده‌اند Ú©Ù‡ توسط یک گروه چینی انجام شده‌اند Ùˆ کارگزارهای پایگاه‌ داده (دیتاسنتر) را به‌منظور کاویدن ارز رمزنگاری‌شده، استخراج اطلاعات Øساس Ùˆ ساخت شبکه‌ بات، برای Øملات انکار سرویس (DDoS)ØŒ هد٠Øمله قرار می‌دهند.
Ù…Øققان شرکت امنیتی GuardiCore Labs هزاران Øمله را Ú©Ù‡ در ماه‌های اخیر انجام شده‌اند، مورد تجزیه‌ Ùˆ تØلیل قرار داده Ùˆ Øداقل سه نوع Øمله به نام‌های HexØŒ Hanako Ùˆ Taylor Ú©Ù‡ کارگزارهای مختل٠MS SQL Ùˆ MySQL هر دو سیستم‌عامل ویندوز Ùˆ لینوکس را هد٠Øمله قرار می‌دهند، شناسایی کرده‌اند.
هد٠این سه نوع Øمله با هم تÙاوت دارد.
Hex کاونده‌ ارز رمزنگاری‌شده و تروجان‌های دسترسی از راه دور (RATs) را روی ماشین‌های آلوده نصب می‌کند.
Taylor یک درب‌پشتی Ùˆ یک ثبت‌کننده صÙØه‌کلید (keylogger) را نصب می‌کند.
Hanako از دستگاه‌های آلوده برای ساخت یک شبکه بات DDoS استÙاده می‌کند.
اکنون Ù…Øققان صدها Øمله‌ Hex Ùˆ Hanako Ùˆ ده‌ها هزار Øمله‌ Taylor را در هرماه ثبت کرده‌اند Ùˆ دریاÙته‌اند اکثر ماشین‌های آسیب‌دیده در چین Ùˆ بعضی از آن‌ها در تایلند، ایالات‌متØده Ùˆ ژاپن قرار دارند.
جهت دسترسی غیرمجاز به کارگزارهای پایگاه‌ داده‌ هدÙØŒ مهاجمان از Øملات جستجوی Ùراگیر استÙاده می‌کنند Ùˆ سپس مجموعه‌ای از دستورات SQL از پیش تعریÙ‌شده را جهت دستیابی به دسترسی دائمی Ùˆ دور زدن ورودی‌ها اجرا می‌کنند.
در هر سه نوع Øمله‌ Ú¯Ùته‌شده (HexØŒ Hanako Ùˆ Taylor) برای دسترسی دائمی به پایگاه‌داده‌ قربانی، Øساب‌های کاربری درب‌پشتی در پایگاه داده ایجاد Ùˆ درگاه مربوط به دسترسی از راه دور باز می‌شود.
این کار به مهاجمان اجازه Ù…ÛŒ دهد تا مرØله‌ بعدی Øمله‌ خود (یک کاونده‌ ارز رمزنگاری‌شده، تروجان دسترسی از راه دور (RAT) یا یک بات دیداس) را به‌صورت از راه دور بارگیری Ùˆ نصب کنند.
درنهایت، مهاجمان برای از بین بردن رد پای خود، هرگونه Ùایل رجیستری Ùˆ ورودی پوشه غیرضروری ویندوز را با استÙاده از Ùایل‌های batch از پیش تعریÙ‌شده Ùˆ اسکریپت‌های Visual Basic Øذ٠می‌کنند.
به‌منظور جلوگیری از به خطراÙتادن سیستم‌ها، Ù…Øققان به مدیران توصیه می‌کنند Ú©Ù‡ همیشه از راهنمایی‌های مقاوم‌سازی پایگاه‌های داده Ú©Ù‡ توسط MySQL Ùˆ مایکروساÙت ارائه شده‌اند استÙاده کنند. آن‌ها توصیه می‌کنند Ú©Ù‡ مدیران مرتبا لیست ماشین‌هایی Ú©Ù‡ به پایگاه داده‌ آن‌ها دسترسی دارند را بررسی کنند Ùˆ این لیست را به Øداقل برسانند.
همچنین به ماشین‌هایی که به‌طور مستقیم از اینترنت قابل‌دسترسی هستند توجه ویژه‌ای داشته باشند و از هرگونه تلاش برای اتصال از IP یا دامنه‌ای که به این لیست تعلق ندارد، جلوگیری کنند.