高危预警：针对MySQL数据库的勒索病毒

概述

近期，深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为，截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。在此，深信服安全团队提醒广大用户注意防范（特别是数据库管理员），保护好核心数据资产，防止中招，目前在国内已有大型企业与普通用户中招案例。

此次勒索攻击行为，与以往相差较大，表现为不在操作系统层面加密任何文件，而是直接登录MySQL数据库，在数据库应用里面执行加密动作。加密行为主要有，遍历数据库所有的表，加密表每一条记录的所有字段，每张表会被追加 _encrypt 后缀，并且对应表会创建对应的勒索信息。例如，假设原始表名为 xx_yy_zz ，则加密后的表名为 xx_yy_zz_encrypt ，同时会新增对应勒索信息表 xx_yy_zz_warning ， _encrypt 和 _warning 成对出现。

被加密后的表 _encrypt 为业务数据，而 _warning 是新增的，深信服安全团队选取其中一张新增勒索信息，打开发现如下信息：

可以看到，在新增表里面，黑客留下了 message 字段，为勒索信息； btc 字段，为黑客比特币钱包地址； site 字段，为黑客预留暗网信息网站，下图是暗网预留网页，显示这是一个提醒中招用户交赎金的页面。

在 Linux 服务器上进入 MySQL 应用，读取到勒索信息如下： 

在数据库存储目录中，显示相关存储文件确实被加密：

加密过程

深信服安全专家排查发现，黑客在拿到 MySQL 账号密码之后，登录了MySQL数据库，执行了SQL语句，对表进行加密操作。黑客的攻击手法较为新颖，采用了 MySQL自带的AES加密函数对数据库中的数据进行加密，加密步骤如下图所示（这里以原始表g***ra为例）：

1 、DROP table if exists g***ra_encrypt：判断表是否存在，如果存在则删除。

2、DROP table if exists g***ra_WARNING：创建一个存放勒索信息的表。

3、create table g***ra_encrypt select * from  g***ra：将原始表中的数据复制到加密表中。

4、alter table g***ra_encrypt MODIFY COLUMN sapcode blob：将加密表中的字段类型修改为blob，该操作目的用于存放加密后的数据，某些原始的字段类型保存的数据太少，无法存放AES加密后的数据。

5、update g***ra_encrypt SET sapcode = AES_ENCRYPT(sapcode, ‘9nceqPTalzWaXG1NIX3t0hgewMPvr6f7’)：关键的一步，使用MySQL自带的AES_ENCRYPT()函数对数据进行加密更新。

6、DROP table if exists g***ra：删除原始表，之后数据库中就只剩下了被加密的表。

7、 之后又使用 sql语句创建了一个表名跟原始表类似，用于存放勒索信息的表：g***ra_WARNING，表中存放有勒索信、比特币钱包地址、暗网网址、密钥证明、表数据结构和私钥。

此次攻击行为相比其他MySQL攻击更近泛化，国内除了多家大型企业中招之外，近日也有普通用户搭建的MySQL数据库中招。这里再次提醒大家，不论业务规模多大，做好安全防范。

解决方案

1、在网络边界防火墙上全局关闭 3306 端口或 3306 端口只对特定 IP 开放；
2、开启 MySQL 登录审计日志，尽量关闭不用的高危端口；

3、建议 MySQL 数据库服务器前置堡垒机，保障安全，且审计和管控登录行为；
4、每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（ 15 位、两种组合以上）；

5、截止目前，已感染用户以暴露在公网 MySQL 账号密码被窃取为主，提醒广大数据库管理员，切勿为了运维方便，牺牲数据安全。