全球范圍內(nèi)已經(jīng)檢測到針對MS-SQL和PHPMyAdmin服務(wù)器的新一波攻擊，這是針對加密貨幣而發(fā)起的。Guardicore Labs周三表示，屬于醫(yī)療保健，電信，媒體和IT組織的50,000多臺服務(wù)器已被感染。來自Guardicore的研究人員Ophir Harpaz和Daniel Goldberg在博客文章中表示，所謂的Nansh0u活動是對原始加密貨幣挖掘攻擊的復(fù)雜考慮。在過去兩個月中，Guardicore記錄了Windows MS-SQL和PHPMyAdmin服務(wù)器的危害，這些服務(wù)器起源于2019年2月26日。在某些情況下，每天有700多名受害者被記錄在案。研究人員表示，“Nansh0u戰(zhàn)役不是典型的加密攻擊。”“它使用常見于高級持續(xù)威脅(APT)中的技術(shù)，如假證書和特權(quán)升級漏洞。”五個攻擊服務(wù)器和六個連接服務(wù)器提供了Nansh0u所需的基礎(chǔ)結(jié)構(gòu)。當(dāng)通過端口掃描程序識別出受害者服務(wù)器時，威脅參與者將首先嘗試通過MS-SQL暴力攻擊工具訪問系統(tǒng)，這可以在弱帳戶憑據(jù)發(fā)揮作用時實現(xiàn)。在許多情況下，這種技術(shù)被證明是成功的，使攻擊者可以訪問具有管理權(quán)限的帳戶。這些憑據(jù)也已保存以備將來使用。

獲取易受攻擊服務(wù)器的IP地址，端口，用戶名和密碼后，黑客將篡改服務(wù)器設(shè)置，并在受害系統(tǒng)上創(chuàng)建Visual-Basic腳本文件，以從攻擊者的服務(wù)器下載惡意文件。

研究人員記錄了在Nansh0u期間使用的20個獨立的惡意有效載荷，每周創(chuàng)建新的變種。

網(wǎng)絡(luò)安全101：保護(hù)您的隱私免受黑客，間諜和政府的侵害

有效負(fù)載使用了CVE-2014-4113，這是2014年首次報告的一個漏洞，它影響了Microsoft Windows Server 2003 SP2，Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8，Windows 8.1中的win32k.sys ，Windows Server 2012 Gold和R2，以及Windows RT Gold和8.1。

如果被利用，該漏洞允許通過精心設(shè)計的應(yīng)用程序進(jìn)行權(quán)限提升。

一旦服務(wù)器成功入侵，有效負(fù)載就會丟棄加密貨幣挖掘器并安裝復(fù)雜的內(nèi)核模式rootkit以維持持久性并防止挖掘惡意軟件被終止。

加密貨幣礦工代表四個不同的采礦池為TurtleCoin的惡意軟件礦山投放，或者使用XMRig，一個開源的Monero挖掘腳本。

許多有效負(fù)載還丟棄了由Verisign簽名的內(nèi)核模式驅(qū)動程序，用于防止進(jìn)程(例如礦工)被阻止。在活動激活期間，Verisign簽收確保駕駛員被視為合法并且將通過安全檢查。此外，驅(qū)動程序受VMProtect保護(hù)，以使軟件的逆向工程變得困難。

證書中包含假冒中國公司的名稱杭州Hootian網(wǎng)絡(luò)技術(shù)有限公司。

如何提高云提供商的安全性：4個提示

鑒于攻擊者的證書和使用EPL(一種用中文開發(fā)的編程語言)，Nansh0u被認(rèn)為起源于中國。此外，活動期間使用的一些文件服務(wù)器基于中文，許多日志文件和二進(jìn)制文件包含中文字符串。

研究人員補充說：“以相對深奧的語言編寫基礎(chǔ)設(shè)施主要部分的決定是不尋常的。”“看起來直到最近屬于國家級黑客的工具，今天仍然是普通罪犯的財產(chǎn)。”

Guardicore與Verisign一起聯(lián)系了用于促進(jìn)攻擊的服務(wù)器的托管服務(wù)提供商?，F(xiàn)在服務(wù)器已被取消并且證書被撤銷，但這并不意味著該活動將來不會返回一組新的服務(wù)器和一個有效的安全證書。