I ricercatori di sicurezza informatica di ASEC (AhnLab Security Emergency Response Center) hanno di recente individuato e catalogato il temibile malware HiddenGh0st che, a quanto pare, sembra essere specializzato nell’attacco di server MS-SQL e MySQL con gestioni inappropriate.
Questo agente malevolo deriva direttamente da Gh0st RAT, un malware di origine cinese specializzata nel furto di dati. HiddenGh0st elude il rilevamento comprimendo, decrittografando ed eseguendo il suo file PE in memoria mentre trasmette dati di configurazione di dimensioni 0x848.
Non solo, grazie alla disattivazione di alcuni dati di configurazione dei server, questo agente malevolo è capace di aprire la strada per altri malware.
A livello pratico, HiddenGh0st è capace di ottenere diverse informazioni rispetto alla macchina infettata come:
- Informazioni sulla versione del sistema operativo in uso
- Velocità e numero delle CPU
- Indirizzo IP pubblico
- Indirizzo IP privato
- Nome host del sistema infetto
- Numero di webcam installate
- Tempo di ritardo della connessione Internet
- Velocità dell’interfaccia di rete
- Capacità di memoria
- Capacità del disco locale
- Elenco dei software di sicurezza installati
- Accesso al numero QQ Messenger
- Stato della connessione Internet (tramite Modem, LAN o proxy)
e tanti altri dati.
Come proteggere i server da HiddenGh0st e da altre minacce simili
HiddenGh0st è solo una delle minacce più recenti che prendono di mira i server MS-SQL & MySQL. Questi infatti, vengono spesso trascurati dai propri gestori, con i criminali informatici che trovano dunque terreno fertile per le loro attività.
A tal proposito, gli esperti di sicurezza hanno voluto fornire alcuni preziosi consigli per evitare malware di questo tipo. Per difendere con efficacia i server MS-SQL dagli attacchi di forza bruta, è necessario utilizzare password complesse, con sostituzioni periodiche delle stesse.
Altre precauzioni utili, per esempio, possono essere l’adozione di firewall oltre all’aggiornamento degli strumenti di sicurezza adottati con le più recenti patch proposte dai produttori.