Tin tặc tấn công máy chủ MySQL trên Windows để chạy Ransomware GandCrab - MTD SEC

MTD SEC

Chia Sẻ Để Thành Công

Home Top Ad

Post Top Ad

Thứ Hai, 27 tháng 5, 2019

Tin tặc tấn công máy chủ MySQL trên Windows để chạy Ransomware GandCrab


GandCrab Ransomware là một trong những Ransomware phổ biến nhất nắm giữ khoảng 40% ransomware hiện tại. Nó được phân phối thông qua các hình thức tấn công khác nhau như chiến dịch truyền thông xã hội, bộ công cụ khai thác, tài liệu văn phòng được vũ khí hóa và các trang web bị xâm nhập.





Các nhà nghiên cứu của Sophos đã phát hiện ra một chiến dịch GandCrab Ransomware mới nhắm vào các máy chủ MySQL Open Internet trên Windows.





Cuộc tấn công bắt đầu bằng cách tiêm một tệp DLL độc hại nhỏ vào máy chủ cơ sở dữ liệu bằng cách sử dụng các lệnh cơ sở dữ liệu SQL và sau đó gọi DLL để truy xuất tải trọng ransomware được lưu trữ trên máy chủ của kẻ tấn công.





Sophos đã triển khai một honeypot bằng cách sử dụng cổng máy chủ SQL mặc định 3306 / tcp và họ đã nhận được một cuộc tấn công hấp dẫn trong tuần này từ một máy có trụ sở tại Hoa Kỳ. Chúng tôi đã theo dõi cả hành vi và lưu lượng truy cập mạng được tạo bởi honeypot này và rất ngạc nhiên khi thấy honeypot (chạy trên Linux) tải xuống một tệp thực thi Windows.





Tấn công vào máy chủ MySQL





Tin tặc thiết lập kết nối với máy chủ cơ sở dữ liệu chạy MySQL và sau đó sử dụng lệnh set để tải lên DLL của trình trợ giúp độc hại dưới dạng các ký tự thập lục phân vào biến bộ nhớ.





Sau đó, họ đã ban hành một lệnh để ghép các nhị phân vào một tệp duy nhất và chúng vào thư mục plugin của máy chủ. Ngoài ra, họ đã sử dụng một số lệnh được sử dụng để hoán đổi các ký tự gạch chéo và dấu gạch chéo ngược có vẻ như được thiết kế để thực hiện kết thúc xung quanh các tính năng bảo mật, theo Soph Sophos.





Bằng cách đưa DLL vào thư mục plugin của máy chủ cơ sở dữ liệu, sau đó những kẻ tấn công đã sử dụng các lệnh SQL để gọi DLL. Sau đó, máy chủ cơ sở dữ liệu tải xuống tải trọng GandCrab từ máy chủ độc hại được lưu trữ vào ổ C trong tên isetup [.] Exe và thực thi nó.





Ransomware GandCrab
Sự kiện mạng




Brandit thực hiện thành công tải trọng ransomware có thể mã hóa tất cả các tệp trong hệ thống, Brandit cho biết tải trọng được lấy từ máy chủ thư mục mở dựa trên windows chạy HFS (HTTP File Server).





Điều thú vị là địa chỉ IP của máy này lưu trữ các mẫu địa lý mẫu GandCrab đến Arizona, giao diện người dùng cài đặt HFS trên máy này là tiếng Trung Quốc đơn giản.





Tên tệp tải trọng bắt đầu bằng 3306 và chứa các phiên bản được đổi tên từ 1 thành 4,





Ransomware GandCrab
Tập tin trong máy chủ HFS




Những kiểu tấn công này không lớn, nhưng nó gây rủi ro nghiêm trọng cho các quản trị viên máy chủ MySQL, thông qua tính năng mysql remote, hãy cẩn trọng khi mở port cho mysql trên windows









IoCs





GandCrab samples
c83bf900eb759e5de5c8b0697a101ce81573874a440ac07ae4ecbc56c4f69331
017b236bf38a1cf9a52fc0bdee2d5f23f038b00f9811c8a58b8b66b1c756b8d6
“cna12.dll” helper
1f86561ca8ff302df2a64e6d12ff530bb461f9a93cf9b7c074699e834f59ef44
Hosts
172[.]96 [.] 14 [.] 134:5471] (GandCrab host)
148 [.] 72 [.] 171 [.] 83 (MySQL attacker)

Không có nhận xét nào:

Đăng nhận xét

Post Top Ad