{"id":263466,"date":"2022-03-17T09:45:56","date_gmt":"2022-03-17T08:45:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263466"},"modified":"2022-03-17T12:12:39","modified_gmt":"2022-03-17T11:12:39","slug":"gh0stcringe-malware-zielt-auf-ungesicherte-microsoft-sql-und-mysql-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/17\/gh0stcringe-malware-zielt-auf-ungesicherte-microsoft-sql-und-mysql-server\/","title":{"rendered":"Gh0stCringe-Malware zielt auf ungesicherte Microsoft SQL- und MySQL-Server"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von AhnLab sind auf eine Kampagne gesto\u00dfen, bei der Angreifer eine Backdoor auf schlecht gesicherten Microsoft SQL- und MySQL-Server installieren. Es handelt sich dabei um den Remote Access-Trojaner Gh0stCringe. Vermutet wird, dass die Infektion \u00fcber geknackte Admin-Zug\u00e4nge zu den Servern erfolgt. Hier einige kurze Informationen dazu.<\/p>\n

<\/p>\n

\"\"Die Kollegen von Bleeping Computer haben das Ganze in nachfolgendem Tweet<\/a> sowie in diesem Beitrag<\/a> angesprochen. Die Details sind im Blog-Beitrag Gh0stCringe RAT Being Distributed to Vulnerable Database Servers<\/a> von AhnLab auf ASEC nachzulesen.<\/p>\n

\"Malware<\/a><\/p>\n

Gh0stCringe ist auch bekannt als CirenegRAT. Das ist eine der Malware-Varianten, die auf dem (\u00f6ffentlich abrufbaren) Code von Gh0st RAT basieren. Es wurde erstmals im Dezember 2018 entdeckt und bekanntlich \u00fcber eine SMB-Schwachstelle (mit dem SMB-Schwachstellen-Tool von ZombieBoy) verbreitet. K\u00fcrzlich wurde der Gh0stCringe RAT entdeckt, der auf anf\u00e4llige Datenbankserver verteilt wird.<\/p>\n

\"Gh0stCringe
\n(Quelle: AhnLabs)<\/p>\n

Gh0stCringe-bezogene Protokolle im ASD von AhnLab zeigen, dass Protokolle nicht nur vom Prozess sqlservr.exe (MS-SQL-Server), sondern auch vom Prozess des MySQL-Servers f\u00fcr Windows-Umgebungen erstellt wurden (siehe Abbildung oben). Anf\u00e4llig als Server k\u00f6nnte hei\u00dfen: Nicht auf dem aktuellen Update-Stand und ggf. mit schlechten Passw\u00f6rtern gesichert. Da es aber sowohl MS-SQL-Server als auch MySQL-Servers betrifft, nimmt AhnLabs an, dass dass Gh0stCringe auf schlecht verwaltete DB-Server mit angreifbaren Anmeldedaten abzielt. Die Maware kann verschiedenen Funktionen, zus\u00e4tzlich zu den C&C-Befehlen, ausf\u00fchren. Hier m\u00f6gliche Befehle:<\/p>\n