Saldırganlar, güvenlik açığı bulunan cihazlara uzaktan erişimek için Gh0stCringe truva atları dağıtıyor. Bu saldırı için tam olarak güvenlik atına alınmamış Microsoft SQL ve MySQL sistemlerini hedefliyorlar. Siber güvenlik firması AhnLab tarafından yayınlanan yeni bir raporda, araştırmacılar GhostCringe’in arkasındaki tsaldırganların, zayıf hesap kimlik bilgilerine sahip veritabanı sunucularını nasıl hedeflediklerini özetliyor.
Gh0stCringe RAT, özel komutları almak veya çalınan bilgileri düşmanlara sızdırmak için C2 sunucusuyla bağlantı kuran güçlü bir kötü amaçlı yazılım.Kötü amaçlı yazılım, aşağıda ayrıntılı olarak açıklandığı gibi belirli ayarları dağıtım sırasında yapılandırılıyor.
- Self-copy [On/Off]: If turned on, it copies itself to a certain path depending on the mode.
- Mode of execution [Mode]: Can have values of 0, 1, and 2.
- File size change [Size]: In Mode #2, the malware copies itself to the path ‘%ProgramFiles%\Cccogae.exe’, and if there is a set value, it adds junk data of the designated size to the back of the file.
- Analysis disruption technique [On/Off]: Obtains the PID of its parent process and the explorer.exe process. If it results in a value of 0, terminates itself.
- Keylogger [On/Off]: If turned on, the keylogging thread operates.
- Rundll32 process termination [On/Off] If turned on, executes ‘taskkill /f /im rundll32.exe’ command to terminate the rundll32 process that is running.
- Self-copy file property [Attr]: Sets property to read-only, hidden, and system (FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM).
Modlar ve komutlar
CirenegRAT, dağıtım sırasında saldırganlar tarafından seçilen 0, 1, 2 ve özel bir Windows 10 modu olmak üzere dört çalışma modunu destekliyor.
- Download additional payloads from the C2 and execute them.
- Connect to a URL via IE
- Destroy MBR (master boot record)
- Keylogging (independent command)
- Steal clipboard database
- Collect Tencent-related information
- Update
- Uninstall
- Register Run Key
- Terminate host system
- Reboot NIC
- Scan for running processes
- Display message pop-up
Veritabanı sunucuları nasıl güvenli hale getirilir
- Sistemleri güncel tutmak
- Tahmin edilmesi zor veya brute-force’e dayanıklı güçlü bir yönetici şifresi kullanmak.,
- En önemli adım, veritabanı sunucusunu yalnızca yetkili cihazların sunucuya erişmesine izin veren bir güvenlik duvarının arkasına yerleştirmek.
- Son olarak, şüpheli etkinlikleri belirlemek için tüm eylemleri izlemek.
Kaynak: bleepingcomputer.com