全球范圍內(nèi)已經(jīng)檢測到針對MS-SQL和PHPMyAdmin服務(wù)器的新一波攻擊,這是針對加密貨幣而發(fā)起的。Guardicore Labs周三表示,屬于醫(yī)療保健,電信,媒體和IT組織的50,000多臺服務(wù)器已被感染。來自Guardicore的研究人員Ophir Harpaz和Daniel Goldberg在博客文章中表示,所謂的Nansh0u活動是對原始加密貨幣挖掘攻擊的復(fù)雜考慮。在過去兩個月中,Guardicore記錄了Windows MS-SQL和PHPMyAdmin服務(wù)器的危害,這些服務(wù)器起源于2019年2月26日。在某些情況下,每天有700多名受害者被記錄在案。研究人員表示,“Nansh0u戰(zhàn)役不是典型的加密攻擊。”“它使用常見于高級持續(xù)威脅(APT)中的技術(shù),如假證書和特權(quán)升級漏洞。”五個攻擊服務(wù)器和六個連接服務(wù)器提供了Nansh0u所需的基礎(chǔ)結(jié)構(gòu)。當(dāng)通過端口掃描程序識別出受害者服務(wù)器時,威脅參與者將首先嘗試通過MS-SQL暴力攻擊工具訪問系統(tǒng),這可以在弱帳戶憑據(jù)發(fā)揮作用時實現(xiàn)。在許多情況下,這種技術(shù)被證明是成功的,使攻擊者可以訪問具有管理權(quán)限的帳戶。這些憑據(jù)也已保存以備將來使用。
獲取易受攻擊服務(wù)器的IP地址,端口,用戶名和密碼后,黑客將篡改服務(wù)器設(shè)置,并在受害系統(tǒng)上創(chuàng)建Visual-Basic腳本文件,以從攻擊者的服務(wù)器下載惡意文件。
研究人員記錄了在Nansh0u期間使用的20個獨立的惡意有效載荷,每周創(chuàng)建新的變種。
網(wǎng)絡(luò)安全101:保護(hù)您的隱私免受黑客,間諜和政府的侵害
有效負(fù)載使用了CVE-2014-4113,這是2014年首次報告的一個漏洞,它影響了Microsoft Windows Server 2003 SP2,Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8,Windows 8.1中的win32k.sys ,Windows Server 2012 Gold和R2,以及Windows RT Gold和8.1。
如果被利用,該漏洞允許通過精心設(shè)計的應(yīng)用程序進(jìn)行權(quán)限提升。
一旦服務(wù)器成功入侵,有效負(fù)載就會丟棄加密貨幣挖掘器并安裝復(fù)雜的內(nèi)核模式rootkit以維持持久性并防止挖掘惡意軟件被終止。
加密貨幣礦工代表四個不同的采礦池為TurtleCoin的惡意軟件礦山投放,或者使用XMRig,一個開源的Monero挖掘腳本。
許多有效負(fù)載還丟棄了由Verisign簽名的內(nèi)核模式驅(qū)動程序,用于防止進(jìn)程(例如礦工)被阻止。在活動激活期間,Verisign簽收確保駕駛員被視為合法并且將通過安全檢查。此外,驅(qū)動程序受VMProtect保護(hù),以使軟件的逆向工程變得困難。
證書中包含假冒中國公司的名稱杭州Hootian網(wǎng)絡(luò)技術(shù)有限公司。
如何提高云提供商的安全性:4個提示
鑒于攻擊者的證書和使用EPL(一種用中文開發(fā)的編程語言),Nansh0u被認(rèn)為起源于中國。此外,活動期間使用的一些文件服務(wù)器基于中文,許多日志文件和二進(jìn)制文件包含中文字符串。
研究人員補充說:“以相對深奧的語言編寫基礎(chǔ)設(shè)施主要部分的決定是不尋常的。”“看起來直到最近屬于國家級黑客的工具,今天仍然是普通罪犯的財產(chǎn)。”
Guardicore與Verisign一起聯(lián)系了用于促進(jìn)攻擊的服務(wù)器的托管服務(wù)提供商?,F(xiàn)在服務(wù)器已被取消并且證書被撤銷,但這并不意味著該活動將來不會返回一組新的服務(wù)器和一個有效的安全證書。