高危預警:針對MySQL資料庫的勒索病毒

深信服千里目發表於2019-09-11

近期,深信服安全團隊追蹤到國內出現了針對MySQL資料庫的勒索攻擊行為,截至目前已監測到的攻擊行為主要體現為對資料庫進行篡改與竊取。在此,深信服安全團隊提醒廣大使用者注意防範(特別是資料庫管理員),保護好核心資料資產,防止中招,目前在國內已有大型企業與普通使用者中招案例。


此次勒索攻擊行為,與以往相差較大,表現為不在作業系統層面加密任何檔案,而是直接登入MySQL資料庫,在資料庫應用裡面執行加密動作。加密行為主要有,遍歷資料庫所有的表,加密表每一條記錄的所有欄位,每張表會被追加_encrypt字尾,並且對應表會建立對應的勒索資訊。例如,假設原始表名為xx_yy_zz,則加密後的表名為xx_yy_zz_encrypt,同時會新增對應勒索資訊表xx_yy_zz_warning,_encrypt和_warning成對出現。


高危預警:針對MySQL資料庫的勒索病毒


被加密後的表_encrypt為業務資料,而_warning是新增的,深信服安全團隊選取其中一張新增勒索資訊,開啟發現如下資訊:


高危預警:針對MySQL資料庫的勒索病毒


可以看到,在新增表裡面,駭客留下了message欄位,為勒索資訊;btc欄位,為駭客比特幣錢包地址;site欄位,為駭客預留暗網資訊網站,下圖是暗網預留網頁,顯示這是一個提醒中招使用者交贖金的頁面。


高危預警:針對MySQL資料庫的勒索病毒


在Linux伺服器上進入MySQL應用,讀取到勒索資訊如下:


  高危預警:針對MySQL資料庫的勒索病毒


在資料庫儲存目錄中,顯示相關儲存檔案確實被加密:


高危預警:針對MySQL資料庫的勒索病毒


加密過程

深信服安全專家排查發現,駭客在拿到MySQL賬號密碼之後,登入了MySQL資料庫,執行了SQL語句,對錶進行加密操作。駭客的攻擊手法較為新穎,採用了MySQL自帶的AES加密函式對資料庫中的資料進行加密,加密步驟如下圖所示(這裡以原始表g***ra為例):


高危預警:針對MySQL資料庫的勒索病毒


1、DROP table if exists g***ra_encrypt:判斷表是否存在,如果存在則刪除。

2、DROP table if exists g***ra_WARNING:刪除一個已存在的勒索資訊的表。

3、create table g***ra_encrypt select * from  g***ra:將原始表中的資料複製到加密表中。

4、alter table g***ra_encrypt MODIFY COLUMN sapcode blob:將加密表中的欄位型別修改為blob,該操作目的用於存放加密後的資料,某些原始的欄位型別儲存的資料太少,無法存放AES加密後的資料。

5、update g***ra_encrypt SET sapcode = AES_ENCRYPT(sapcode, '9nceqPTalzWaXG1NIX3t0hgewMPvr6f7'):關鍵的一步,使用MySQL自帶的AES_ENCRYPT()函式對資料進行加密更新。

6、DROP table if exists g***ra:刪除原始表,之後資料庫中就只剩下了被加密的表。

7、之後又使用sql語句建立了一個表名跟原始表類似,用於存放勒索資訊的表:g***ra_WARNING,表中存放有勒索信、比特幣錢包地址、暗網網址、金鑰證明、表資料結構和私鑰。


高危預警:針對MySQL資料庫的勒索病毒


此次攻擊行為相比其他MySQL攻擊更近泛化,國內除了多家大型企業中招之外,近日也有普通使用者搭建的MySQL資料庫中招。這裡再次提醒大家,不論業務規模多大,做好安全防範。


解決方案

1、在網路邊界防火牆上全域性關閉3306埠或3306埠只對特定IP開放;
2、開啟MySQL登入審計日誌,儘量關閉不用的高危埠;

3、建議MySQL資料庫伺服器前置堡壘機,保障安全,且審計和管控登入行為;
4、每臺伺服器設定唯一口令,且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構,口令位數足夠長(15位、兩種組合以上);

5、截止目前,已感染使用者以暴露在公網MySQL賬號密碼被竊取為主,提醒廣大資料庫管理員,切勿為了運維方便,犧牲資料安全。


補充說明

已在Linux伺服器上和Windows伺服器上發現MySQL資料庫被加密的案例,針對Windows使用者,建議使用深信服免費查殺工具。
深信服免費查殺工具連結如下:

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


諮詢與服務

您可以透過以下方式聯絡我們,獲取關於

MySQL勒索病毒的免費諮詢及支援服務:

1)撥打電話400-630-6430轉6號線(已開通勒索軟體專線)

2)關注【深信服技術服務】微信公眾號,選擇“智慧服務”選單,進行諮詢

3)PC端訪問深信服社群 bbs.sangfor.com.cn,選擇右側智慧客服,進行諮詢

相關文章