MySQL Veritabanları GandCrab Fidye Yazılımını Etkilemek İçin Taranıyor
Özel bir bilgisayar korsanı grubu, MySQL veritabanları için oldukça basit ama kalıcı bir arama yürütüyor. Savunmasız veritabanları daha sonra fidye yazılımı yüklemek için hedeflenir. Veritabanlarına uzaktan erişmeye ihtiyaç duyan MySQL sunucu yöneticilerinin ekstra dikkatli olmaları gerekir.
Bilgisayar korsanları internette tutarlı bir arama yapıyor. Çin'de bulunduğuna inanılan bu bilgisayar korsanları, MySQL veritabanlarını çalıştıran Windows sunucularını arıyorlar. Grup belli ki bu sistemlere GandCrab fidye yazılımını bulaştırmayı planlıyor.
Fidye yazılımı, dosyaların gerçek sahibini kilitleyen ve dijital bir anahtar üzerinden göndermek için ödeme talep eden gelişmiş bir yazılımdır. Siber güvenlik firmalarının şimdiye kadar Windows sistemlerinde çalışan MySQL sunucularına özellikle fidye yazılımı bulaştırmak için saldıran herhangi bir tehdit aktörü görmemiş olması ilginçtir. Başka bir deyişle, bilgisayar korsanlarının savunmasız veritabanları veya sunucular aramaya gitmesi ve kötü amaçlı kod yüklemesi nadirdir. Yaygın olarak gözlemlenen normal uygulama, tespitten kaçmaya çalışırken sistematik bir veri çalma girişimidir.
Windows sistemlerinde çalışan savunmasız MySQL veritabanlarını aramak için internette en son tarama girişimi, Sophos Baş Araştırmacısı Andrew Brandt tarafından ortaya çıkarıldı. Brandt'a göre, bilgisayar korsanları SQL komutlarını kabul eden internetten erişilebilen MySQL veritabanlarını tarıyor gibi görünüyor. Arama parametreleri, sistemlerin Windows işletim sistemi çalıştırıp çalıştırmadığını kontrol eder. Bilgisayar korsanları, böyle bir sistemi bulduktan sonra, açık sunuculara bir dosya yerleştirmek için kötü amaçlı SQL komutlarını kullanır. Bir kez başarılı olan enfeksiyon, daha sonraki bir tarihte GandCrab fidye yazılımını barındırmak için kullanılır.
Bu son girişimler endişe verici çünkü Sophos araştırmacısı onları birkaç taneden biri olabilecek uzak bir sunucuya kadar izlemeyi başardı. Açıkça, sunucunun bir tür HTTP Dosya Sunucusu olan HFS adlı sunucu yazılımını çalıştıran açık bir dizini vardı. Yazılım, saldırganın kötü amaçlı yükleri için istatistikler sunuyordu.
Bulguları detaylandıran Brandt, “Sunucu, MySQL bal küpü indirmesini (3306-1.exe) gördüğüm örneğin 500'den fazla indirildiğini gösteriyor gibi görünüyor. Ancak 3306-2.exe, 3306-3.exe ve 3306-4.exe adlı örnekler bu dosyayla aynıdır. Bir arada sayıldığında, bu sunucuya yerleştirildiklerinden bu yana beş gün içinde yaklaşık 800 indirme ve açık dizinde diğer (yaklaşık bir hafta daha eski) GandCrab örneğinin 2300'den fazla indirilmesi olmuştur. Dolayısıyla, bu özellikle büyük veya yaygın bir saldırı olmasa da, veritabanı sunucularında 3306 numaralı bağlantı noktasının dış dünya tarafından erişilebilir olması için güvenlik duvarında bir delik açan MySQL sunucu yöneticileri için ciddi bir risk oluşturuyor ”
Deneyimli MySQL sunucu yöneticilerinin nadiren sunucularını yanlış yapılandırdıklarını veya en kötüsü veritabanlarını şifresiz bıraktıklarını not etmek güven vericidir. Ancak, bu tür örnekler nadir değildir. Görünüşe göre, kalıcı taramaların amacı, yanlış yapılandırılmış sistemlerin veya şifresiz veri tabanlarının fırsatçı sömürülmesi gibi görünüyor.