Haberler

Gh0stCringe Truva Atı Microsoft SQL, MySQL Sistemlerini Hedef Alıyor

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 25/03/2022
0 1 dakika okuma süresi

Saldırganlar, güvenlik açığı bulunan cihazlara uzaktan erişimek için Gh0stCringe truva atları dağıtıyor. Bu saldırı için tam olarak güvenlik atına alınmamış Microsoft SQL ve MySQL sistemlerini hedefliyorlar. Siber güvenlik firması AhnLab tarafından yayınlanan yeni bir raporda, araştırmacılar GhostCringe’in arkasındaki tsaldırganların, zayıf hesap kimlik bilgilerine sahip veritabanı sunucularını nasıl hedeflediklerini özetliyor.

Gh0stCringe RAT, özel komutları almak veya çalınan bilgileri düşmanlara sızdırmak için C2 sunucusuyla bağlantı kuran güçlü bir kötü amaçlı yazılım.Kötü amaçlı yazılım, aşağıda ayrıntılı olarak açıklandığı gibi belirli ayarları dağıtım sırasında yapılandırılıyor.

  • Self-copy [On/Off]: If turned on, it copies itself to a certain path depending on the mode.
  • Mode of execution [Mode]: Can have values of 0, 1, and 2.
  • File size change [Size]: In Mode #2, the malware copies itself to the path ‘%ProgramFiles%\Cccogae.exe’, and if there is a set value, it adds junk data of the designated size to the back of the file.
  • Analysis disruption technique [On/Off]: Obtains the PID of its parent process and the explorer.exe process. If it results in a value of 0, terminates itself.
  • Keylogger [On/Off]: If turned on, the keylogging thread operates.
  • Rundll32 process termination [On/Off] If turned on, executes ‘taskkill /f /im rundll32.exe’ command to terminate the rundll32 process that is running.
  • Self-copy file property [Attr]: Sets property to read-only, hidden, and system (FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM).

Modlar ve komutlar

CirenegRAT, dağıtım sırasında saldırganlar tarafından seçilen 0, 1, 2 ve özel bir Windows 10 modu olmak üzere dört çalışma modunu destekliyor.

  • Download additional payloads from the C2 and execute them.
  • Connect to a URL via IE
  • Destroy MBR (master boot record)
  • Keylogging (independent command)
  • Steal clipboard database
  • Collect Tencent-related information
  • Update
  • Uninstall
  • Register Run Key
  • Terminate host system
  • Reboot NIC
  • Scan for running processes
  • Display message pop-up

Veritabanı sunucuları nasıl güvenli hale getirilir

  • Sistemleri güncel tutmak
  • Tahmin edilmesi zor veya brute-force’e dayanıklı güçlü bir yönetici şifresi kullanmak.,
  • En önemli adım, veritabanı sunucusunu yalnızca yetkili cihazların sunucuya erişmesine izin veren bir güvenlik duvarının arkasına yerleştirmek.
  • Son olarak, şüpheli etkinlikleri belirlemek için tüm eylemleri izlemek.

Kaynak: bleepingcomputer.com

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 25/03/2022
0 1 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

Kullanıcıların Dikkatine: PuTTY SSH’da Önemli Bir Güvenlik Açığı Tespit Edildi

17/04/2024

Microsoft Nisan 2024 Güncellemeleri SQL Reporting Services’de Sorunlara Neden Oluyor

16/04/2024

iPhone Kullanıcıları Dikkat! Acilen iMessage’i Kapatın

16/04/2024

Exchange Online’da Yeni External Recipient Rate Limit Değişiklikleri Açıklandı

15/04/2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu