广州天凯信息科技有限公司
在线客服
 工作时间
周一至周五 :8:30-22:00
周六至周日 :9:00-17:00
 联系方式
客服热线:13926108245
客服热线:13710815210

MYSQL数据库勒索病毒的防范措施

 二维码 379
作者:冯工

最近,广州天凯科技遇到不少新客户咨询,MYSQL数据库遭受勒索病毒攻击,导致数据库数据被删,而先前用户并没有任何备份与安全意识,不但没有数据库备份,BINLOG日志没有打开,而且root密码很简单,并有甚者连123456这种默认密码都没有改!这给攻击者带来了极大的可乘之机!在此,天凯科技提醒广大客户注意防范(特别是数据库管理员),保护好企业数据安全,防止中招,目前国内已有不少中小企业中招的案例!

此次勒索攻击现象,与之前的windows漏洞,表现为不在操作系统层面加密任何文件,而是通过非法登录MySQL数据库,在数据库层面执行加密数据。加密操作主要有,遍历数据库中所有表,加密表每一行记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为emp_zz,则加密后的表名为emp_encrypt,同时会新增对应勒索信息表emp_warning,_encrypt和_warning成对出现,如下图。

1.png

被加密后的表_encrypt为业务数据,而_warning是新增的,选择其中一张新增勒索信息,打开发现如下信息:

2.png


可以看到,在新增表里面,黑客留下了message字段,为勒索信息;btc字段,为黑客比特币钱包地址;site字段,为黑客预留暗网信息网站,下图是暗网预留网页,显示这是一个提醒中招用户交赎金的页面。

3.png


在Linux服务器上进入MySQL数据库,读取到勒索信息如下:

4.png

在数据库存储目录中,显示相关存储文件确实被加密:

5.png

加密过程

经过分析,黑客在破解MySQL账号密码之后,登录了MySQL数据库,执行了SQL语句,对表进行加密操作。黑客的攻击手法较为新颖,采用了MySQL自带的AES加密函数对数据库中的数据进行加密,加密步骤如下图所示(这里以原始表g***ra为例):

6.png7.png8.png



此次攻击行为相比之前的SQL SERVER勒索病毒更直接,受害客户也更多,其主要原因还是客户的数据库维护安全意识不够。这里再次提醒大家,不论业务规模多大,都务必做好安全防范。目前该漏洞攻击,暂无补丁发布!所以只能靠维护来防范,下面是一些建议措施,可预防该攻击:

预防解决方案:

1、设置主机或云服务器禁止对外开放3306端口或3306端口只对特定IP开放;

2、重中之重,做好数据库定时备份策略,并开启binlo日志,关闭不用的高风险端口;

3、建议MySQL数据库服务器前置堡垒机,保障安全,且审计和管控登录行为;

4、MYSQL数据库的账号密码要设置高强度复杂密码,例如多种字符组合,长度建议超过10位;

5、把备份同事传输到异机保留多个版本,如有条件,做MYSQL的主从复制热备。