近日����,Guardicore Labs團(tuán)隊(duì)稱(chēng)發(fā)現(xiàn)大量MS-SQL和PHPMyAdmin服務(wù)器遭到中國(guó)黑客的攻擊并用于挖掘?yàn)觚攷牛═urtleCoin),總數(shù)超過(guò)50000臺(tái)��,代號(hào)“Nansh0u”���。
該活動(dòng)于4月初被檢測(cè)到��,起始于2月26日����,針對(duì)包括醫(yī)療���、電信�����、媒體以及互聯(lián)網(wǎng)等多個(gè)行業(yè)發(fā)動(dòng)了攻擊��。受到攻擊的服務(wù)器會(huì)被安裝一個(gè)rootkit來(lái)防止惡意軟件被終止���。據(jù)Guardicore團(tuán)隊(duì)描述�,每天新增的受害者超過(guò)700人�����,并且在調(diào)查過(guò)程中�,共發(fā)現(xiàn)了20個(gè)版本的有效惡意載荷,并且每周還會(huì)至少創(chuàng)建一個(gè)新的有效載荷����。
由于該行為的一些特點(diǎn)���,Guardicore團(tuán)隊(duì)將某后主導(dǎo)者指向了中國(guó):
該工具由基于中文的編程語(yǔ)言EPL編寫(xiě)�;
部署此系列惡意廣告的某些文件服務(wù)器都是中文的HFS�;
服務(wù)器上許多日志文件和二進(jìn)制文件都包含中文字符串,例如“結(jié)果-去重復(fù)”�、“開(kāi)始”等��。
為了破壞Windows MS-SQL和PHPMyAdmin服務(wù)器�����,黑客使用了一系列工具�,包括端口掃描程序�、MS-SQL暴力破解工具和遠(yuǎn)程執(zhí)行模塊。
端口掃描程序可使攻擊者通過(guò)檢查默認(rèn)的MS-SQL端口是否打開(kāi)來(lái)找到對(duì)應(yīng)服務(wù)器�����,并自動(dòng)發(fā)送暴力破解工具����。一旦服務(wù)器被破壞,攻擊者便會(huì)通過(guò)腳本感染計(jì)算機(jī)���,并執(zhí)行一系列命令�����,隨后自動(dòng)下載惡意載荷并運(yùn)行���。
惡意載荷會(huì)利用已知的權(quán)限提升漏洞(CVE-2014-4113)來(lái)獲取系統(tǒng)的管理員權(quán)限���,取得權(quán)限之后便會(huì)下載惡意軟件并自動(dòng)開(kāi)始挖掘?yàn)觚攷拧?/p>
Guardicore的研究人員通過(guò)分析樣本后發(fā)現(xiàn),該惡意軟件的功能包括:
加密貨幣挖掘���;
通過(guò)改寫(xiě)注冊(cè)表運(yùn)行鍵來(lái)保障持久性����;
使用rootkit保護(hù)挖礦進(jìn)程避免被終止�;
使用看門(mén)狗機(jī)制確保挖礦工作持續(xù)執(zhí)行。
在受感染的服務(wù)器上放置的大量有效載荷中包括一個(gè)隨機(jī)命名的VMProtect-obfuscated內(nèi)核模式驅(qū)動(dòng)程序����,該程序可使其避免大多數(shù)的AV引擎檢測(cè)。并且該程序還有由Verisign頒發(fā)給一家名為HangZhou Hootian Network Technology的中國(guó)公司但現(xiàn)已撤銷(xiāo)的證書(shū)����,目的是“保護(hù)流程并防止用戶(hù)終止”。
此外��,該惡意軟件還包含其他rootkit功能�,例如與物理硬件設(shè)備通信以及修改此特定惡意軟件未使用的Windows內(nèi)部進(jìn)程��。其內(nèi)核模式驅(qū)動(dòng)程序能夠確保惡意軟件進(jìn)程不會(huì)被中斷,并且該軟件幾乎支持從Windows 7到Windows 10的每個(gè)版本�����,包括測(cè)試版����。
Guardicore團(tuán)隊(duì)為此加密劫持活動(dòng)提供了一個(gè)完整的IoC列表【傳送門(mén)】,包括Hash�����、攻擊期間使用的IP地址以及挖掘池等�����,同時(shí)還上傳了一個(gè)Powershell腳本【傳送門(mén)】�����,用于查找Nansh0u活動(dòng)在受感染機(jī)器上的殘留以及檢測(cè)可能受感染的服務(wù)器�����。
該團(tuán)隊(duì)還表示����,此次黑客活動(dòng)再次證明了普通密碼仍然是當(dāng)今攻擊流程中最薄弱的環(huán)節(jié)���。看到成千上萬(wàn)的服務(wù)器因簡(jiǎn)單密碼而遭受暴力攻擊導(dǎo)致?lián)p失��,我們強(qiáng)烈建議各用戶(hù)���、企業(yè)以及組織機(jī)構(gòu)使用強(qiáng)密碼以及網(wǎng)絡(luò)分段來(lái)保護(hù)其網(wǎng)絡(luò)資產(chǎn)�。
轉(zhuǎn)自FreeBuf.COM
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
