登陆

高危预警:针对MySQL数据库的勒索病毒

admin 2019-10-31 180人围观 ,发现0个评论

近期,深服气安全团队追寻到国内呈现了针对MySQL数据库的勒索进犯行为,到现在已监测到的进犯行为首要体现为对数据库进行篡改与盗取。在此,深服气安全团队提示广阔用户留意防备(特别是数据库管理员),保护好中心数据财物,避免中招,现在在国内已有大型企业与普通用户中招事例。

此次勒索进犯行为,与以往相差较大,表现为不在操作系统层面加密任何文件,而是直接登录MySQL数据库,在数据库运用里边履行加密动作。加密行为首要有,遍历数据库一切的表,加密表每一条记载的一切字段周六夜现场,每张表会被追加_encrypt后缀,而且对应表会创立对应的勒索信息。例如,假定原始表名为xx_yy_zz,则加密后的表名为xx_yy_zz_encrypt,同时会新增对应勒索信息表xx_yy_zz_warning,_encrypt和_warning成对呈现。



被加密后的表_encrypt为事务数据,而_warning是新增的,深服气安全团队选取其间一张新增勒索信息,翻开发现如下信息:



能够看到,在新增表高危预警:针对MySQL数据库的勒索病毒里边,黑客留下了message字段,为勒索信息;btc字段,为黑客比特币钱包地址;site字段,为黑客预留暗网信息网站,下图是暗网预高危预警:针对MySQL数据库的勒索病毒留网页,显现这是一个提示中招用户交赎金的页面。

在Linux服务器上进入MySQL运用,读取到勒索信息如下:



在数据库存储目录中,显现相关存储文件的确被加密:



加密进程

深服气安全专家排查发现,黑客在拿到MySQL账号密码之后,登录了MySQL数据库,履行了SQL句子,对表进行加密操作。黑客的进犯方法较为新颖,选用了MySQL自带的AES加密函数对数据库中的数据进行加密,加密过程如下图所示(这儿以原始表g***ra为例):



1、DROP table if exists g***ra_encrypt:判别表是否存在,假如存在则删去。

2、DROP table if 高危预警:针对MySQL数据库的勒索病毒exists g***ra_WARNING:创立一个寄存勒索信息的表。

3、create table g***ra_encrypt select * from g***ra:将原始表中的数据复制到加密表中。

4、alter table g***ra_encrypt MODIFY COLUMN sapcode blob:将加密表中的字段类型修改为blob,该操作意图用于寄存加密后的数据,某些原始的字段类型保存的数据太少,无法寄存AES加密后的数据。

5、update g***ra_encrypt SET sapcode = AES_ENCRYPT(sapcode, '9nceqPTalzWaXG1NIX3t0hgewMPvr6f7'):要害的一步,运用MySQL自带的AES_ENCRYPT()函数对数据进行加密更新。

6、DROP table if exists g***ra:删去原始表,之后数据库中就只剩下了被加密的表。

7、之后又运用sql句子创立了一个表名跟原始表相似,用于寄存勒索信息的表:g***ra_WARNING,表中寄存有勒索信、比特币钱包地址、暗网网址、密钥证明、表数据结构和私钥。



此次进犯行为比较其他MySQL进犯更近泛化,国内除了多家大型企业中招之外,近来也有普通用户建立的MySQL数据库中招。这儿再次提示我们,不管事务规划多大,做好安全防备。

解决方案

1、在网络鸿沟防火墙上大高危预警:针对MySQL数据库的勒索病毒局封闭3306端口或3306端口只对特定IP敞开;

2、敞开MySQL登录审计日志,尽量封闭不必的高危端口;

3、主张MySQL数据库服务器前置堡垒机,保证安全,且审计和管控登录行为高危预警:针对MySQL数据库的勒索病毒;

4、每台服务器设置仅有口令,且复杂度要求选用大小写字母、数字、特殊符号混合的组合结构,口令位数满足长(15位、两种组合以上);

5、截止现在,已感染用户以暴露在公网MySQL账号密码被盗取为主,提示广阔数据库管理员,切勿为了运维便利,献身数据安全。

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP