[English]Sicherheitsforscher von AhnLab sind auf eine Kampagne gestoßen, bei der Angreifer eine Backdoor auf schlecht gesicherten Microsoft SQL- und MySQL-Server installieren. Es handelt sich dabei um den Remote Access-Trojaner Gh0stCringe. Vermutet wird, dass die Infektion über geknackte Admin-Zugänge zu den Servern erfolgt. Hier einige kurze Informationen dazu.
Anzeige
Die Kollegen von Bleeping Computer haben das Ganze in nachfolgendem Tweet sowie in diesem Beitrag angesprochen. Die Details sind im Blog-Beitrag Gh0stCringe RAT Being Distributed to Vulnerable Database Servers von AhnLab auf ASEC nachzulesen.
Gh0stCringe ist auch bekannt als CirenegRAT. Das ist eine der Malware-Varianten, die auf dem (öffentlich abrufbaren) Code von Gh0st RAT basieren. Es wurde erstmals im Dezember 2018 entdeckt und bekanntlich über eine SMB-Schwachstelle (mit dem SMB-Schwachstellen-Tool von ZombieBoy) verbreitet. Kürzlich wurde der Gh0stCringe RAT entdeckt, der auf anfällige Datenbankserver verteilt wird.
(Quelle: AhnLabs)
Anzeige
Gh0stCringe-bezogene Protokolle im ASD von AhnLab zeigen, dass Protokolle nicht nur vom Prozess sqlservr.exe (MS-SQL-Server), sondern auch vom Prozess des MySQL-Servers für Windows-Umgebungen erstellt wurden (siehe Abbildung oben). Anfällig als Server könnte heißen: Nicht auf dem aktuellen Update-Stand und ggf. mit schlechten Passwörtern gesichert. Da es aber sowohl MS-SQL-Server als auch MySQL-Servers betrifft, nimmt AhnLabs an, dass dass Gh0stCringe auf schlecht verwaltete DB-Server mit angreifbaren Anmeldedaten abzielt. Die Maware kann verschiedenen Funktionen, zusätzlich zu den C&C-Befehlen, ausführen. Hier mögliche Befehle:
- Self-copy [On/Off]: Wenn diese Funktion eingeschaltet ist, kopiert sie sich selbst in einen bestimmten Pfad, je nach Modus.
- Mode of execution [Mode]: Kann die Werte 0, 1 und 2 haben (Erklärung siehe folgender Text und bei AhnLabs im Artikel).
- File size change [Size]: Im Modus 2 kopiert sich die Malware in den Pfad "%ProgramFiles%\Cccogae.exe" und fügt bei einem bestimmten Wert Junk-Daten in der angegebenen Größe hinten an die Datei an.
- Analysis disruption technique [On/Off]: Ermittelt die PID des übergeordneten Prozesses und des Prozesses explorer.exe. Ergibt sich ein Wert von 0, beendet er sich selbst.
- Keylogger [On/Off]: Wenn eingeschaltet, arbeitet der Keylogger-Thread.
- Rundll32 process termination [On/Off]: Wenn eingeschaltet, wird der Befehl 'taskkill /f /im rundll32.exe' ausgeführt, um den laufenden rundll32-Prozess zu beenden.
- Self-copy file property [Attr]: Setzt die Eigenschaft auf schreibgeschützt, versteckt und System (FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM).
Details, wie man eine Infektion erkennen kann, haben die Sicherheitsforscher in ihrem Artikel veröffentlicht.
Anzeige