全球MySQL資料庫淪為新一輪勒索軟體攻擊目標

01-29

上個月，全球範圍內大量 MongoDB因為配置不當導致公網匿名可訪問，遭到勒索軟體攻擊，刪除業務數據並索要贖金後才給恢複數據。近日，GuardiCore警告稱，成千上萬的MySQL資料庫正成為勒索軟體攻擊的潛在受害者，這似乎是MongoDB「洗劫」活動的升級。

攻擊誘因

「逐利」是攻擊者最大的驅動力，只要收益高於成本就值得干一票。如今，互聯網公司大量使用各種開源資料庫保存重要的業務數據，一旦數據被毀且無法恢復，會造成較大損失。此外，這類互聯網公司有相當一部分安全防護意識薄弱，攻擊成本低，也有一定能力支付較小金融的贖金，於是這波人就成了勒索軟體理想的攻擊目標。

新一輪攻擊目標——MySQL資料庫

作為攻擊行為的一部分，攻擊者會暴力破解未設防的MySQL伺服器，枚舉現有的資料庫及表格，竊取數據，隨後創建一個新的圖表來指導用戶支付0.2比特幣（約合200美元）的贖金。攻擊者聲稱，支付贖金後就會為受害者提供訪問資料庫的許可權，但是這並不是事實的全部，因為有些數據是被刪除了而並非被盜。

今年1月份曝光了類似的攻擊事件，負責監視MongoDB和Hadoop資料庫受攻擊情況的安全研究人員Victor Gevers表示，共有28000個未設防的MongoDB資料庫遭到入侵，攻擊者竊取數據勒索0.2比特幣（約合200美元）贖金。不久後，更多的攻擊者開始針對未設防的開源資料庫發起勒索攻擊，造成30000多個MongoDB及Elasticsearch應用，126 個Hadoop應用和452個CouchDB應用遭到入侵。

和攻擊MongoDB 及Elasticsearch時一樣，攻擊者利用的是Hadoop和CouchDB的默認安裝配置，也就是可以在不需要憑證或很容易得到憑證的情況下進行簡單的攻擊。

研究人員還發現，攻擊者會在目標資料庫上複寫彼此的勒索信，且他們不再是複製原始數據，而是直接刪除這些數據，所以受害者即便支付了贖金也無法檢索到數據。

現在，MySQL資料庫也成為新一輪攻擊目標：攻擊者通過在線工具可以搜索使用弱密碼的伺服器，然後通過暴力破解獲得訪問許可權，隨後用自己創建的圖表替換原有資料庫並附上勒索信息。在某些情況下，他們還會直接刪除資料庫，這樣一來，即便受害者交付贖金也無法恢複數據。

根據安全公司的分析發現，從2月12日午夜開始的30個小時內共觀察到數百次攻擊活動。所有的攻擊行為被追溯到同一IP地址（109.236.88.20），攻擊伺服器都由worldstream.nl（一家荷蘭web託管公司）託管。研究人員認為，攻擊者當時使用了一個受損郵件伺服器，該伺服器同時也作為HTTP／HTTPS和 FTP伺服器。

GuardiCore研究主管Ofri Ziv在回復郵件調查時表示，目前此類攻擊已經蔓延至全球各地，且沒有顯示出指向任何特定資料庫的跡象。對於受損資料庫的問題，他暫時不能提供一個準確的估算數字，但是他說，

由於易受攻擊的弱密碼問題，全球成千上萬的MySQL伺服器正在面臨網路威脅。

針對MySQL的攻擊手法和MongoDB非常相像，一開始攻擊者都會留給受害者一封名為「WARNING」和「PLEASE_READ」的勒索信。然而，Ziv認為目前還沒有辦法確定現在針對MySQL伺服器的，是否與當時針對MongoDB的屬於同一幫黑客所為。但即便不是同一幫人所為，也肯定是受其啟發所為。

雖然勒索信中的比特幣地址顯示了活動跡象，但是GuardiCore認為那並不是受害者實際上交付了贖金的證據。因為交易行為可能是攻擊者自導自演的，目的是為了鼓勵受害者支付贖金。

GuardiCore在一篇博文中寫道，

在交付贖金之前，我們強烈建議您先去確認攻擊者是否真的掌握了你的數據，以及這些數據是否能在交付贖金後得以恢復。因為在我們監控攻擊的過程中，找不到任何數據轉儲和滲漏操作。

針對MySQL伺服器面臨的風險問題，安全公司指出，必須確保安全管理員使用了強密碼和強制性認證；嚴格限制訪問源，而且最好在防火牆上限制；修改默認開放埠等。

GuardiCore還指出，實時監控你的聯網設備／伺服器是能夠快速響應泄漏事件至關重要的一步。如此一來，你的安全團隊就能夠為這些伺服器／設備執行合適的設置（如防火牆、數據限制等）。定期數據備份可以在必要時刻幫助你恢復大部分有價值的數據，不用等到攻擊發生時，被迫交付贖金來恢複數據。

本文參考來源於securityweek，如若轉載，請註明來源於嘶吼：全球MySQL資料庫淪為新一輪勒索軟體攻擊目標更多內容請關注「嘶吼專業版」——Pro4hou