高危預警：針對MySQL資料庫的勒索病毒

近期，深信服安全團隊追蹤到國內出現了針對MySQL資料庫的勒索攻擊行為，截至目前已監測到的攻擊行為主要體現為對資料庫進行篡改與竊取。在此，深信服安全團隊提醒廣大使用者注意防範（特別是資料庫管理員），保護好核心資料資產，防止中招，目前在國內已有大型企業與普通使用者中招案例。

此次勒索攻擊行為，與以往相差較大，表現為不在作業系統層面加密任何檔案，而是直接登入MySQL資料庫，在資料庫應用裡面執行加密動作。加密行為主要有，遍歷資料庫所有的表，加密表每一條記錄的所有欄位，每張表會被追加_encrypt字尾，並且對應表會建立對應的勒索資訊。例如，假設原始表名為xx_yy_zz，則加密後的表名為xx_yy_zz_encrypt，同時會新增對應勒索資訊表xx_yy_zz_warning，_encrypt和_warning成對出現。

被加密後的表_encrypt為業務資料，而_warning是新增的，深信服安全團隊選取其中一張新增勒索資訊，開啟發現如下資訊：

可以看到，在新增表裡面，駭客留下了message欄位，為勒索資訊；btc欄位，為駭客比特幣錢包地址；site欄位，為駭客預留暗網資訊網站，下圖是暗網預留網頁，顯示這是一個提醒中招使用者交贖金的頁面。

在Linux伺服器上進入MySQL應用，讀取到勒索資訊如下：

在資料庫儲存目錄中，顯示相關儲存檔案確實被加密：

加密過程

深信服安全專家排查發現，駭客在拿到MySQL賬號密碼之後，登入了MySQL資料庫，執行了SQL語句，對錶進行加密操作。駭客的攻擊手法較為新穎，採用了MySQL自帶的AES加密函式對資料庫中的資料進行加密，加密步驟如下圖所示（這裡以原始表g***ra為例）：

1、DROP table if exists g***ra_encrypt：判斷表是否存在，如果存在則刪除。

2、DROP table if exists g***ra_WARNING：刪除一個已存在的勒索資訊的表。

3、create table g***ra_encrypt select * from  g***ra：將原始表中的資料複製到加密表中。

4、alter table g***ra_encrypt MODIFY COLUMN sapcode blob：將加密表中的欄位型別修改為blob，該操作目的用於存放加密後的資料，某些原始的欄位型別儲存的資料太少，無法存放AES加密後的資料。

5、update g***ra_encrypt SET sapcode = AES_ENCRYPT(sapcode, '9nceqPTalzWaXG1NIX3t0hgewMPvr6f7')：關鍵的一步，使用MySQL自帶的AES_ENCRYPT()函式對資料進行加密更新。

6、DROP table if exists g***ra：刪除原始表，之後資料庫中就只剩下了被加密的表。

7、之後又使用sql語句建立了一個表名跟原始表類似，用於存放勒索資訊的表：g***ra_WARNING，表中存放有勒索信、比特幣錢包地址、暗網網址、金鑰證明、表資料結構和私鑰。

此次攻擊行為相比其他MySQL攻擊更近泛化，國內除了多家大型企業中招之外，近日也有普通使用者搭建的MySQL資料庫中招。這裡再次提醒大家，不論業務規模多大，做好安全防範。

解決方案

1、在網路邊界防火牆上全域性關閉3306埠或3306埠只對特定IP開放；
2、開啟MySQL登入審計日誌，儘量關閉不用的高危埠；

3、建議MySQL資料庫伺服器前置堡壘機，保障安全，且審計和管控登入行為；
4、每臺伺服器設定唯一口令，且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）；

5、截止目前，已感染使用者以暴露在公網MySQL賬號密碼被竊取為主，提醒廣大資料庫管理員，切勿為了運維方便，犧牲資料安全。

補充說明

已在Linux伺服器上和Windows伺服器上發現MySQL資料庫被加密的案例，針對Windows使用者，建議使用深信服免費查殺工具。
深信服免費查殺工具連結如下：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

諮詢與服務

您可以透過以下方式聯絡我們，獲取關於

MySQL勒索病毒的免費諮詢及支援服務：

1）撥打電話400-630-6430轉6號線（已開通勒索軟體專線）

2）關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢

3）PC端訪問深信服社群 bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢