黑客以安全性差的 Microsoft SQL 和 MySQL 数据库服务器为目标，在易受攻击的设备上部署 Gh0stCringe 远程访问木马。

Gh0stCringe，又名 CirenegRAT，是 Gh0st RAT 恶意软件的变种.
在网络安全公司 AhnLab 今天发布的一份新报告中，研究人员概述了 GhostCringe 背后的威胁行为者如何针对账户凭据薄弱且没有监督的安全性较差的数据库服务器

正如您在下面看到的，攻击者正在破坏数据库服务器并使用 mysqld.exe、mysqld-nt.exe 和 sqlserver.exe 进程将恶意的“mcsql.exe”可执行文件写入磁盘。

这些攻击类似于我们去年 2 月报告的 Microsoft SQL 服务器攻击，后者  使用 Microsoft SQL命令丢弃了 Cobalt Strike信标。xp_cmdshell

除了 Gh0stCringe 之外，  AhnLab 的报告 还提到在被检查的服务器上存在多个恶意软件样本，这表明竞争的威胁参与者正在破坏相同的服务器以丢弃他们自己的活动的有效负载。

服务器上的 Gh0stCringe

Gh0stCringe RAT 是一种功能强大的恶意软件，它与 C2 服务器建立连接以接收自定义命令或将被盗信息泄露给对手。

恶意软件可以在部署过程中使用有关其功能的特定设置进行配置，如下所述：

• 自复制[On/Off]：如果打开，它会根据模式将自身复制到某个路径。
• 执行模式 [Mode]：可以有 0、1 和 2 的值。
• 文件大小变化【大小】：模式#2下，恶意软件将自身复制到路径'%ProgramFiles%\Cccogae.exe'，如果有设置值，则将指定大小的垃圾数据添加到文件后面文件。
• 分析中断技术[On/Off]：获取其父进程和explorer.exe进程的PID。如果结果为 0，则自行终止。
• Keylogger [On/Off]：如果打开，则键盘记录线程运行。
• Rundll32 进程终止[On/Off] 如果打开，则执行“taskkill /f /im rundll32.exe”命令以终止正在运行的 rundll32 进程。
• 自复制文件属性[Attr]：将属性设置为只读、隐藏和系统 (FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM)。
  
  

  在上述情况中，键盘记录器可能是最具攻击性的组件，因为它会从受感染的系统中窃取用户输入。

  键盘记录组件使用 Windows 轮询方法 (GetAsyncKeyState API) 通过无限循环查询每个键的状态。

  这种可靠的日志记录方法会带来 CPU 使用率过高的风险，但在管理不善的服务器中，这不太可能给威胁参与者带来问题。

  该恶意软件还将监视最后三分钟的按键操作，并将它们与基本系统和网络信息一起发送到恶意软件的命令和控制服务器。

  这些记录的击键将允许威胁参与者窃取登录凭据和登录用户在设备上输入的其他敏感信息。

  模式和命令

  CirenegRAT 支持四种操作模式，即 0、1、2 和一种特殊的 Windows 10 模式，由威胁参与者在部署期间选择。

  这些模式配置如何通过修改 Windows 注册表和激活自复制模块来建立持久性。例如，模式#0 在没有持久性的情况下运行，而模式#2 建立持久性并考虑自复制设置。

  对于 RAT 支持的远程命令，总结如下：

  • 从 C2 下载额外的有效载荷并执行它们。
  • 通过 IE 连接到 URL
  • 销毁 MBR（主引导记录）
  • 键盘记录（独立命令）
  • 窃取剪贴板数据库
  • 收集腾讯相关信息
  • 更新
  • 卸载
  • 注册运行密钥
  • 终止主机系统
  • 重启网卡
  • 扫描正在运行的进程
  • 显示消息弹窗

  如何保护数据库服务器

  首先，更新您的服务器软件以应用最新的可用安全更新，这有助于排除利用已知漏洞的一系列攻击。

  使用难以猜测或暴力破解的强管理员密码也很重要。

  最关键的一步是将数据库服务器置于防火墙后面，只允许授权设备访问服务器。

  最后，监控所有操作以识别可疑侦察活动并使用数据访问控制器进行数据交易策略检查。