L'ANALISI TECNICA

Gh0stCringe, il malware che prende di mira i database SQL Server e MySQL: come difendersi

È stato ribattezzato Gh0stCringe il nuovo malware RAT (Remote Access Trojan) che, grazie alle avanzate caratteristiche tecniche, rappresenta una seria minaccia di cyber spionaggio per i server di database non aggiornati e poco protetti. Ecco i dettagli tecnici e le soluzioni di mitigazione

17 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stata identificata una nuova minaccia malware, ribattezzata Gh0stCringe, mirata ai server MySQL e Microsoft SQL non aggiornati e scarsamente protetti. Il suo obiettivo è quello di rubare password e altre informazioni sensibili grazie alla funzionalità di keylogger.

La ricerca è stata condotta dalla società di sicurezza informatica sudcoreana AhnLab, che ha rilevato questa nuova versione del Gh0st RAT (trojan di accesso remoto) sui server dei più popolari applicativi database del mondo.

Come funziona il malware Gh0stCringe

Le prime tracce di Gh0st RAT risalgono al 2020, quando il malware era al centro della scena di cyber spionaggio cinese, ma il trojan era già in circolazione dal 2018. Con Gh0stCringe le cose sono leggermente evolute, anche se i concetti base del suo predecessore vengono tutti ereditati.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione

Una comparazione dei codici sorgenti tra i due malware, effettuata dai ricercatori, ci conferma lo stretto legame di parentela, come visibile in figura.

Gh0stCringe è un malware potente che, tramite il controllo remoto via server C&C (comando e controllo), riceve comandi e invia gli output richiesti.

Gli aggressori penetrano nei server e utilizzano i processi mysqld.exe, mysqld-nt.exe e sqlserver.exe per scrivere l’eseguibile dannoso mcsql.exe sul disco rigido.

La funzionalità più ricercata di questo software malevolo è proprio quella di keylogger. Infatti, il componente di keylogging di Gh0stCringe è il più temuto, usa il metodo di polling di Windows (API GetAsyncKeyState) per chiedere lo stato di ogni chiave.

Questo meccanismo di registrazione ha il difetto di ottenere un carico della CPU molto elevato. In ogni caso, questo dettaglio finora non sembra aver creato problemi agli attori delle minacce, per lo più su sistemi con scarsa manutenzione.

Il malware registrerà tutte le sequenze di tasti degli ultimi tre minuti e le invierà ai server di comando e controllo identificati per l’operazione criminale, insieme alle informazioni di base sul sistema e sulla rete.

Gli attori delle minacce a questo punto, saranno in grado di rubare le password di accesso e altre informazioni sensibili che gli utenti immettono sul dispositivo infetto.

Metodo di diffusione del RAT

Gli aggressori dietro questa operazione malware, mirano a obiettivi di server database esposti e scarsamente mantenuti. Quando un server non viene aggiornato e una patch non viene applicata per tempo, si può con tutta probabilità diventare target ambiti per questo tipo di attacchi.

Sfruttando proprio le vulnerabilità note, evidentemente non ancora colmate dagli opportuni aggiornamenti continuamente diramati per SQL Server e MySQL, gli operatori malevoli riescono a penetrare l’infrastruttura già non particolarmente protetta perimetralmente.

La caratteristica di Gh0stCringe, come parte della sua recente evoluzione, permette in fase di distribuzione, l’impostazione di parametri di configurazione. In questa versione del RAT i settaggi che si possono personalizzare, durante la fase della distribuzione, sono 7 e prevedono opzioni per condizionarne il comportamento una volta in funziona sulla macchina della vittima.

Come possiamo notare, il malware mette a disposizione dell’aggressore diverse opzioni, tra le quali l’automazione della replica di sé stesso su uno specifico indirizzo locale differente, la possibilità di mascherare la reale dimensione del file malevolo accodando all’eseguibile dati spazzatura, l’invio di comandi per l’arresto di processi di sistema essenziali e la personalizzazione degli attributi delle copie automatiche del trojan.

Mitigazione e protezione da Gh0stCringe

È sicuramente buona norma, in questo caso essenziale per la protezione da questo attacco, mantenere le proprie strutture server aggiornate, con tutti gli applicativi utilizzati aggiornati ai più recenti bollettini di sicurezza sulle CVE note.

Inoltre, va considerato che attacchi di questo genere vengono pressoché totalmente scongiurati se alla nostra infrastruttura applichiamo opportune regole firewall di esposizione a Internet.

Quando si gestiscono servizi come MySQL e Microsoft SQL, utilizzati appunto per l’amministrazione di database, il loro accesso alla rete esterna deve essere minimale. Impostare sempre buone regole di esposizione di questi servizi alla rete Internet, limitandolo unicamente agli indirizzi davvero necessari, filtrando in questa maniera una grande quantità di accessi non autorizzati.

Come sempre quando si parla di malware nuovi, anche in questo, conoscere la minaccia diventa molto importante. Per questo motivo diffondiamo gli IoC emersi dallo studio di ricerca, di modo da poter alimentare gli strumenti di indagine sulla presenza di minacce:

MD5

  • bd8611002e01d4f9911e85624d431eb0
  • 9adc9644a1956dee23c63221951dd192
  • 782cbc8660ff9e94e584adfcbc4cb961

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4