至少有一名中國黑客工作人員正在為運行MySQL數(shù)據(jù)庫的Windows服務(wù)器掃描互聯(lián)網(wǎng),以便他們可以使用GandCrab勒索軟件感染這些系統(tǒng)。這些攻擊有點獨特,因為網(wǎng)絡(luò)安全公司直到現(xiàn)在還沒有看到任何威脅演員攻擊在Windows系統(tǒng)上運行的MySQL服務(wù)器以使用勒索軟件感染它們。Sophos的首席研究員Andrew Brandt以及在蜜罐日志中發(fā)現(xiàn)這些新攻擊的人在一封發(fā)給ZDNet的電子郵件中稱其為“偶然的發(fā)現(xiàn)”。研究人員今天在Sophos網(wǎng)站上發(fā)布了一篇博客文章,詳細介紹了這一新的掃描活動及其有效載荷。
攻擊者瞄準罕見但多汁,暴露的MYSQL數(shù)據(jù)庫
Brandt說,黑客會掃描可以接受SQL命令的互聯(lián)網(wǎng)可訪問MySQL數(shù)據(jù)庫,檢查基礎(chǔ)服務(wù)器是否可以在Windows上運行,然后使用惡意SQL命令在暴露的服務(wù)器上植入文件,這些文件將在以后執(zhí)行,感染主機與GandCrab勒索軟件。
雖然大多數(shù)系統(tǒng)管理員通常使用密碼保護他們的MySQL服務(wù)器,但這些掃描的目的似乎是錯誤配置或無密碼數(shù)據(jù)庫的機會性利用。
Brandt認為,黑客似乎非常驚人,但如果成功則不完全清楚。
Sophos研究人員將這些攻擊追溯到一個遠程服務(wù)器,該服務(wù)器有一個運行服務(wù)器軟件HFS的開放目錄,它暴露了攻擊者惡意負載的下載統(tǒng)計數(shù)據(jù)。
“服務(wù)器似乎表示我看到MySQL蜜罐下載(3306-1.exe)的樣本下載次數(shù)超過500次。但是,樣本名為3306-2.exe,3306-3.exe和3306-4.exe與該檔案相同,“布蘭特說。
“計算在一起,自從他們被放置在這臺服務(wù)器上的五天內(nèi),已有近800次下載,以及在開放目錄中超過2300次下載其他(大約一周之前)的GandCrab示例。
“因此,雖然這不是特別大規(guī)?;驈V泛的攻擊,但它確實給MySQL服務(wù)器管理員帶來了嚴重的風險,他們在數(shù)據(jù)庫服務(wù)器上為端口3306通過防火墻打了一個洞,外部世界可以訪問,”他說。
正如Brandt所指出的,這些類型的攻擊非常罕見。黑客團體通常掃描數(shù)據(jù)庫服務(wù)器滲透到企業(yè)和竊取他們的數(shù)據(jù)或知識產(chǎn)權(quán),或來廠加密采礦惡意軟件[1,2]。
黑客組織部署勒索軟件的實例很少見。