GandCrab Ransomware là một trong những Ransomware phổ biến nhất nắm giữ khoảng 40% ransomware hiện tại. Nó được phân phối thông qua các hình thức tấn công khác nhau như chiến dịch truyền thông xã hội, bộ công cụ khai thác, tài liệu văn phòng được vũ khí hóa và các trang web bị xâm nhập.

Các nhà nghiên cứu của Sophos đã phát hiện ra một chiến dịch GandCrab Ransomware mới nhắm vào các máy chủ MySQL Open Internet trên Windows.

Cuộc tấn công bắt đầu bằng cách tiêm một tệp DLL độc hại nhỏ vào máy chủ cơ sở dữ liệu bằng cách sử dụng các lệnh cơ sở dữ liệu SQL và sau đó gọi DLL để truy xuất tải trọng ransomware được lưu trữ trên máy chủ của kẻ tấn công.

Sophos đã triển khai một honeypot bằng cách sử dụng cổng máy chủ SQL mặc định 3306 / tcp và họ đã nhận được một cuộc tấn công hấp dẫn trong tuần này từ một máy có trụ sở tại Hoa Kỳ. Chúng tôi đã theo dõi cả hành vi và lưu lượng truy cập mạng được tạo bởi honeypot này và rất ngạc nhiên khi thấy honeypot (chạy trên Linux) tải xuống một tệp thực thi Windows.

Tấn công vào máy chủ MySQL

Tin tặc thiết lập kết nối với máy chủ cơ sở dữ liệu chạy MySQL và sau đó sử dụng lệnh set để tải lên DLL của trình trợ giúp độc hại dưới dạng các ký tự thập lục phân vào biến bộ nhớ.

Sau đó, họ đã ban hành một lệnh để ghép các nhị phân vào một tệp duy nhất và chúng vào thư mục plugin của máy chủ. Ngoài ra, họ đã sử dụng một số lệnh được sử dụng để hoán đổi các ký tự gạch chéo và dấu gạch chéo ngược có vẻ như được thiết kế để thực hiện kết thúc xung quanh các tính năng bảo mật, theo Soph Sophos.

Bằng cách đưa DLL vào thư mục plugin của máy chủ cơ sở dữ liệu, sau đó những kẻ tấn công đã sử dụng các lệnh SQL để gọi DLL. Sau đó, máy chủ cơ sở dữ liệu tải xuống tải trọng GandCrab từ máy chủ độc hại được lưu trữ vào ổ C trong tên isetup [.] Exe và thực thi nó.

Ransomware GandCrab
Sự kiện mạng

Brandit thực hiện thành công tải trọng ransomware có thể mã hóa tất cả các tệp trong hệ thống, Brandit cho biết tải trọng được lấy từ máy chủ thư mục mở dựa trên windows chạy HFS (HTTP File Server).

Điều thú vị là địa chỉ IP của máy này lưu trữ các mẫu địa lý mẫu GandCrab đến Arizona, giao diện người dùng cài đặt HFS trên máy này là tiếng Trung Quốc đơn giản.

Tên tệp tải trọng bắt đầu bằng 3306 và chứa các phiên bản được đổi tên từ 1 thành 4,

Ransomware GandCrab
Tập tin trong máy chủ HFS

Những kiểu tấn công này không lớn, nhưng nó gây rủi ro nghiêm trọng cho các quản trị viên máy chủ MySQL, thông qua tính năng mysql remote, hãy cẩn trọng khi mở port cho mysql trên windows

IoCs

Leave a Reply

avatar
  Subscribe  
Notify of