تلاش هکرها برای نصب باجافزار از طریق نفوذ به سرورهای MySQL
تاریخ انتشار
سه شنبه ۷ خرداد ۱۳۹۸ ساعت ۱۷:۰۵
آیتیمن- به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باجافزار مشاهده نکرده اند.
آنها اعلام کردهاند که هکرها پایگاهدادههای MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن میکنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باجافزار GandCrab را در فضای میزبان نصب میکنند.
با این که اکثر مدیران سیستمها، با گذرواژه از سرورهای MySQL محافظت میکنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آنها گذرواژه تعریف نشده است، انجام میدهند.
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانیپات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
همچنین سایر فایلها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شدهاند که نشان دهنده قربانیان حمله است.
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آنها در معرض دسترسی است، تلقی میشود.
نشانههای آلودگی (IoC)
نمونههای GandCrab:
• c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
• ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
cna۱۲.dll:
• ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
IPهای میزبان مهاجم:
• ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
• ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)
مرجع : مرکز افتا