Хакеры атакуют MySQL серверы на Windows, чтобы доставить GandCrab вымогателей | DedicateT.com

Регистрация
18.12.2017
Сообщения
774
Симпатии
315
Баллы
180
#1
GandCrab.png
GandCrab Ransomware является одним из наиболее распространенных вымогателей, который занимает около 40% доли рынка вымогателей. Он распространялся через различные формы атак, такие как кампании в социальных сетях, набор эксплойтов, вооруженные офисные документы и скомпрометированные веб-сайты.

Исследователи Sophos заметили новую кампанию GandCrab Ransomware, которая нацелена на серверы MySQL в Интернете в Windows.

Атака начинается с введения небольшого вредоносного DLL - файла на сервер баз данных с помощью команд базы данных SQL, а затем для вызова DLL для получения полезной нагрузки вымогателей, размещенной на сервере злоумышленника.

Sophos развернул honeypot, используя порт SQL server по умолчанию 3306 / tcp, и на этой неделе они получили “интригующую атаку с машины, базирующейся в Соединенных Штатах. Мы следили за поведением и сетевым трафиком, генерируемым этим honeypot, и были удивлены, увидев, что honeypot (который работает под Linux) загружает исполняемый файл Windows.”

Атака на серверы MySQL
Хакеры устанавливают соединение с сервером базы данных под управлением MySQL, а затем используют команду set для загрузки вредоносной вспомогательной DLL в виде шестнадцатеричных символов в переменную памяти.

"Позже они выпустили команду объединить двоичные файлы в один файл и поместить их в каталог плагинов сервера. Кроме того, они использовали несколько команд, используемых для замены символов косой и обратной косой черты, которые, казалось, были предназначены для завершения функций безопасности”,-заметил Софос .

Получив DLL, доставленную в каталог плагинов сервера баз данных, злоумышленники использовали команды SQL для вызова DLL. Затем сервер баз данных загружает полезную нагрузку GandCrab с размещенного вредоносного сервера на диск C с именем isetup[.] exe и выполняет его.

1558789065292.png

Успешное выполнение полезной нагрузки ransomware может зашифровать все файлы в системе, Brandit сказал, что полезная нагрузка извлекается из сервера open directory под управлением windows под управлением HFS (HTTP File Server).

"Что делает это интересным, так это то, что IP-адрес этой машины, на которой размещен образец GandCrab, расположен в Аризоне, в пустынном юго-западном регионе Соединенных Штатов, а пользовательский интерфейс установки HFS на этой машине-упрощенный китайский.”

Имя файла полезной нагрузки начинается с 3306 и содержит переименованные версии от 1 до 4, в общей сложности они должны быть загружены для “800 загрузок за пять дней с момента их размещения на этом сервере, а также более 2300 загрузок другого (примерно на неделю старше) образца GandCrab в открытом каталоге.”

1558789019617.png

Эти типы атак не являются массовыми, “это представляет серьезный риск для администраторов сервера MySQL, которые просунули отверстие через брандмауэр для порта 3306 на своем сервере базы данных, чтобы быть доступным внешним миром”, - добавил он.

МНК
GandCrab образцы
c83bf900eb759e5de5c8b0697a101ce81573874a440ac07ae4ecbc56c4f69331
017b236bf38a1cf9a52fc0bdee2d5f23f038b00f9811c8a58b8b66b1c756b8d6
" cna12.dll " helper
1f86561ca8ff302df2a64e6d12ff530bb461f9a93cf9b7c074699e834f59ef44
Hosts
172[.]96 [.] 14 [.] 134: 5471] (хозяин Гандкраба)
148 [.] 72 [.] 171 [.] 83 (атакующий MySQL)
 

Пользователи, которые просматривали тему (Всего: 0)

Тема долгое время не просматривалась.