กรมป้องกันและบรรเทาสาธารณภัย กระทรวงมหาดไทย
ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร

ข่าว IT

สาระน่ารู้

ระวังมัลแวร์ Gh0stCringe เป็นอันตรายต่อเซิร์ฟเวอร์ฐานข้อมูล Microsoft SQL และ MySQL

ส่วนคอมพิวเตอร์และเครือข่าย

เพราะมัลแวร์และแฮคเกอร์อยู่คู่กับระบบคอมพิวเตอร์มาเนิ่นนาน และไม่มีทีท่าว่าจะลดลงง่าย ๆ ล่าสุด มีมัลแวร์ที่ชื่อว่า Gh0stCringe โดยแฮคเกอร์ใช้มัลแวร์ตัวนี้เจาะเซิร์ฟเวอร์ฐานข้อมูล MySQL และ MicrosoftSQL ที่ไม่ปลอดภัยจากระยะไกล

สำหรับมัลแวร์ Gh0stCringe หรือที่รู้จักในชื่อ CirenegRAT เป็นมัลแวร์ Gh0st RAT ที่ใช้งานได้ล่าสุดในปี 2020 แต่จริง ๆ แล้วมัลแวร์ตัวนี้เกิดขึ้นเมื่อปี 2018 ซึ่งอัปเดตล่าสุดจากนักวิจัยของบริษัท AhnLab ได้ความว่า "ผู้คุกคามที่อยู่เบื้องหลังมัลแวร์ Gh0stCringe กำลังกำหนดเป้าหมายเซิร์ฟเวอร์ฐานข้อมูลที่มีความปลอดภัยต่ำ ด้วยข้อมูลประจำตัวบัญชีที่อ่อนแอและไม่มีการกำกับดูแล
 

แล้วมัลแวร์ Gh0stCringe อันตรายอย่างไร ? นี่คือมัลแวร์ที่สร้างการเชื่อมต่อกับเซิร์ฟเวอร์เพื่อรับคำสั่งที่กำหนดเอง หรือกรองข้อมูลบางชนิดที่สามารถนำไปใช้งานต่อได้ และมัลแวร์ยังสร้างการจดจำขณะที่ผู้ใช้กำลังพิพม์คีย์บอร์ดได้ด้วย เรียกได้ว่าหากเซิร์ฟเวอร์ฐานข้อมูลนั้น ๆ ไม่มีมาตรการความปลอดภัยที่รัดกุมมากพอ ข้อมูลก็จะถูกมัลแวร์ขโมยไปอย่างแน่นอน

ขั้นตอนต่าง ๆ ในการเก็บข้อมูลของมัลแวร์ Gh0stCringe

  • เชื่อมต่อกับ URL ผ่านเบราว์เซอร์ Internet Explorer (ซึ่งในปัจจุบันยุติการใช้งานแล้ว
  • ทำลาย MBR (มาสเตอร์บูตเรคคอร์ด)
  • Keylogging (คำสั่งอิสระ)
  • ขโมยฐานข้อมูลคลิปบอร์ด
  • รวบรวมข้อมูลที่เกี่ยวข้องกับ Tencent
  • อัปเดตและถอนการติดตั้ง
  • ลงทะเบียน Run Key
  • ยุติระบบโฮสต์
  • รีบูต NIC
  • สแกนหากระบวนการที่ทำงานอยู่
  • แสดงข้อความป๊อปอัป

จากภาพด้านล่างจะเห็นว่า นี่คือตัวอย่างมัลแวร์ที่จะทำการเจาะเซิร์ฟเวอร์ด้วยการเขียนไฟล์ mcsql.exe ลงบนพื้นที่เก็บข้อมูล เพื่อรันโปรแกรมทำลายล้างเซิร์ฟเวอร์นั่นเอง ซึ่งการโจมตีเหล่านี้คล้ายกับการโจมตีเซิร์ฟเวอร์ Microsoft SQL เมื่อเดือนกุมภาพันธ์ปี 2021 โดยใช้คำสั่ง Microsoft SQL xp_cmdshell เพื่อติดตั้ง Cobalt Strike beacons

ระวังมัลแวร์ Gh0stCringe เป็นอันตรายต่อเซิร์ฟเวอร์ฐานข้อมูล Microsoft SQL และ MySQL
ภาพจาก : https://www.bleepingcomputer.com/news/security/unsecured-microsoft-sql-mysql-servers-hit-by-gh0stcringe-malware/

แล้วจะทราบได้อย่างไรว่ามีมัลแวร์บุกรุก ซึ่งวิธีการของมัลแวร์ตัวนี้ก่อให้เกิดความเสี่ยงในการใช้งาน CPU ที่กินไฟ กินทรัพยากรสูงกว่าปกติ แต่สำหรับเซิร์ฟเวอร์ที่มีการจัดการที่ไม่ดีอาจไม่เกิดสัญญาณเตือนใด ๆ ทางที่ดี ผู้ดูแลควรอัปเดตซอฟต์แวร์เซิร์ฟเวอร์ของคุณ เพื่ออัปเดตความปลอดภัยล่าสุดเป็นเวอร์ชันล่าสุด ช่วยปิดช่องโหว่ต่าง ๆ ป้องกันการถูกโจมตี ให้ใช้รหัสผ่านในขั้นตอนที่สามารถทำได้ กำหนดผู้ใช้ อุปกรณ์ที่ได้รับอนุญาตให้เข้าถึง และอย่าลืมตรวจสอบการดำเนินงาน กิจกรรมบนเซิร์ฟเวอร์ทั้งหมด เพื่อควบคุมการเข้าถึงนั่นเอง

 


จำนวนผู้เข้าชมในหน้านี้ 74465 ครั้ง