امنیت

فناوری اطلاعات

May 29, 2019
18:50 چهارشنبه، 8ام خردادماه 1398
کد خبر: 99851

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.