Незащищенные серверы Microsoft SQL, MySQL поражены вредоносной программой Gh0stCringe

6
Microsoft представляет потоковое устройство Xbox

Хакеры используют плохо защищенные серверы баз данных Microsoft SQL и MySQL для установки троянов удаленного доступа Gh0stCringe на уязвимые устройства.

Gh0stCringe, он же CirenegRAT, является вариантом вредоносной программы Gh0st RAT, которая совсем недавно была развернута в 2020 году в китайских операциях по кибершпионажу, но появилась еще в 2018 году.

В новом отчете, опубликованном сегодня компанией AhnLab, специализирующейся на кибербезопасности, исследователи описывают, как угрожающие субъекты, стоящие за GhostCringe, нацеливаются на плохо защищенные серверы баз данных со слабыми учетными данными и отсутствием надзора.

Как вы можете видеть ниже, угрозы проникают на серверы баз данных и используют процессы mysqld.exe, mysqld-nt.exe и sqlserver.exe для записи вредоносного исполняемого файла ‘mcsql.exe’ на диск.

Эти атаки похожи на атаки на серверы Microsoft SQL, о которых мы сообщали в феврале прошлого года и которые сбрасывали маячки Cobalt Strike с помощью команды Microsoft SQL xp_cmdshell.

Помимо Gh0stCringe, в отчете AhnLab упоминается присутствие нескольких образцов вредоносного ПО на исследованных серверах, что указывает на то, что конкурирующие угрозы проникают на одни и те же серверы, чтобы сбросить полезную нагрузку для своих собственных кампаний.

Gh0stCringe на сервере

Gh0stCringe RAT — мощная вредоносная программа, которая устанавливает соединение с сервером C2 для получения пользовательских команд или передачи злоумышленникам украденной информации.

Вредоносная программа может быть настроена во время развертывания с определенными параметрами, касающимися ее функций, как подробно описано ниже:

  • Самокопирование [Вкл./Выкл.]: если включено, копируется по определенному пути в зависимости от режима.
  • Режим выполнения [Mode]: может принимать значения 0, 1 и 2.
  • Изменение размера файла [Размер]: В режиме № 2 вредоносное ПО копирует себя по пути «%ProgramFiles%\Cccogae.exe» и, если установлено значение, добавляет ненужные данные указанного размера в конец файла. файл.
  • Метод прерывания анализа [Вкл./Выкл.]: получает PID родительского процесса и процесса explorer.exe. Если это приводит к значению 0, завершается.
  • Кейлоггер [Вкл./Выкл.]: если включено, работает поток кейлоггинга.
  • Завершение процесса Rundll32 [Вкл./Выкл.] Если включено, выполняет команду «taskkill /f /im rundll32.exe» для завершения запущенного процесса rundll32.
  • Свойство файла самокопирования [Attr]: задает свойство только для чтения, скрытое и системное (FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM).

Из вышеперечисленного кейлоггер, возможно, является наиболее агрессивным компонентом, поскольку именно он крадет пользовательский ввод из скомпрометированной системы.

Компонент кейлоггинга использует метод опроса Windows (GetAsyncKeyState API) для запроса состояния каждой клавиши в бесконечном цикле.

Этот в остальном надежный метод ведения журнала создает риск подозрительно высокой загрузки ЦП, но на плохо управляемых серверах это вряд ли вызовет проблемы у злоумышленников.

Вредоносное ПО также отслеживает нажатия клавиш за последние три минуты и отправляет их вместе с базовой информацией о системе и сети на управляющие серверы вредоносного ПО.

Эти зарегистрированные нажатия клавиш позволят злоумышленникам украсть учетные данные для входа и другую конфиденциальную информацию, которую пользователи, вошедшие в систему, ввели на устройстве.

Режимы и команды

CirenegRAT поддерживает четыре режима работы, а именно 0, 1, 2 и специальный режим Windows 10, выбираемый злоумышленником во время развертывания.

Режимы настраивают, как устанавливается постоянство посредством изменения реестра Windows и активации модуля самокопирования. Например, режим № 0 работает без сохранения, а режим № 2 устанавливает сохранение и учитывает параметры самокопирования.

Что касается удаленных команд, поддерживаемых RAT, то они сводятся к следующему:

  • Загрузите дополнительные полезные нагрузки с C2 и выполните их.
  • Подключиться к URL через IE
  • Уничтожить MBR (основную загрузочную запись)
  • Кейлоггинг (независимая команда)
  • Украсть базу данных буфера обмена
  • Собирать информацию, связанную с Tencent
  • Обновлять
  • Удалить
  • Зарегистрировать ключ запуска
  • Завершить хост-систему
  • Перезагрузите сетевую карту
  • Сканировать запущенные процессы
  • Показать всплывающее сообщение

Как защитить серверы баз данных

Во-первых, обновите серверное программное обеспечение, чтобы применить последние доступные обновления безопасности, что поможет исключить ряд атак, использующих известные уязвимости.

Также важно использовать надежный пароль администратора, который трудно угадать или подобрать методом грубой силы.

Наиболее важным шагом является размещение сервера базы данных за брандмауэром, разрешающим доступ к серверу только авторизованным устройствам.

Наконец, отслеживайте все действия для выявления подозрительной разведывательной активности и используйте контроллер доступа к данным для проверки политик транзакций данных.

Последнее обновление 7 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии