0
據 Bleeping Computer 美國時間 5 月 29 日報道,近日,Guardicore 網絡安全實驗室的研究人員發布了一份詳細的報告,內容涉及全球范圍內攻擊 Windows MS-SQL 和 PHPMyAdmin 服務器的廣泛攻擊活動。
調查發現,屬于醫療、保健、電信、媒體和 IT 領域公司的超過 50000 臺服務器被復雜攻擊工具破壞,期間每天有超過 700 名新受害者出現。
最讓人疑惑的是,它們覺得,這事是中國黑客干的。
Nansh0u攻擊活動
據報道,此次行動僅為 Nansh0u 攻擊活動的一部分——所謂的 Nansh0u 是對原始加密貨幣挖掘攻擊的復雜化操作。
截至目前,其背后的黑客組織已經感染了全球近 50000 臺服務器。研究人員稱 , Nansh0u 攻擊活動與常規情況下的加密劫持行為不同,它使用了常見于高級持續威脅( APT )中的技術,如假證書和特權升級漏洞。
攻擊細節分析
Guardicore 針對此次發現的攻擊行為進行深入研究,并在報告中詳細闡述了其攻擊原理:
為了破壞 Windows MS-SQL 和 PHPMyAdmin 服務器,黑客使用了一系列工具,包括端口掃描程序, MS-SQL 暴力破解工具和遠程執行模塊。端口掃描程序允許他們通過檢查默認的 MS-SQL 端口是否打開來找到 MS-SQL 服務器,這些服務器將自動送入爆破工具。
一旦服務器被攻破, Nansh0u 活動執行者將使用 MS-SQL 腳本感染 20 個不同的惡意負載版本,該腳本將在受感染的計算機上下載并啟動有效負載。
攻擊流程
隨后,惡意程序會使用 CVE-2014-4113 跟蹤的權限提升漏洞利用受感染服務器上的 SYSTEM 權限運行有效負載,每個已刪除和執行的有效負載均被設計為執行多個操作的包裝器。
正如 Guardicore 的研究人員在分析通過 Guardicore 全球傳感器網絡( GGSN )和攻擊服務器收集的樣本后發現的,包裝器將:
?執行加密貨幣挖礦;
?通過編寫注冊表運行鍵來創建持久性;
?使用內核模式 rootkit 保護 miner 進程免于終止;
?使用看門狗機制確保挖礦的連續執行。
在受感染的服務器上丟棄大量有效負載的同時也丟棄了一個隨機命名的 VMProtect-obfuscated 內核模式驅動程序,這將引發大多數AV引擎的檢測程序啟動。
為了不被惡意軟件查殺引擎“和諧”掉,它還包含了rootkit 功能,可用于與物理硬件設備保持通信以及修改此特定惡意軟件未使用的內部 Windows 進程對象,以此偽裝惡意程序。
內核模式驅動程序數字簽名
此外,內核模式驅動程序確保丟棄的惡意軟件不會被終止,該程序幾乎支持從 Windows 7 到 Windows 10 的每個版本的 Windows體統 ,其中甚至也包括測試版。
報道稱, Guardicore Labs 團隊為此加密劫持活動提供了一個全面的 IoC 列表,其中包含了攻擊期間使用的 IP 地址以及挖掘池域的詳細信息。
通過上述攻擊過程,黑客可獲取易受攻擊服務器的 IP 地址,端口,用戶名和密碼,黑客可以篡改服務器設置,并在受害系統上創建 Visual-Basic 腳本文件,以從攻擊者的服務器下載惡意文件。
值得一提的是,該攻擊程序偽造并簽署了由Verisign頒發給一家名為“杭州Hootian網絡技術有限公司”的證書。Guardicore稱,實際上該證書很早之前就已經處于撤銷狀態了。
“此次攻擊活動再次證明,普通密碼仍然是當今攻擊流程中最薄弱的環節。看到成千上萬的服務器因簡單的暴力攻擊而受到損害,我們強烈建議公司使用強大的憑據以及網絡分段來保護其資產解決方案,“ Guardicore 實驗室團隊總結道。
它們說:或中國黑客所為
Guardicore 稱, Nansh0u 攻擊活動的追蹤過程中,他們對其攻擊對象及手法進行了深入研究,并從中推斷出該活動的幕后執行者很可能是中國黑客。
Guardicore 實驗室的研究人員稱,他們于 2 月 26 日檢測到該攻擊,進一步調查顯示, 4 月份的三次類似攻擊的所有源頭 IP 地址都來自南非,它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。
而根據多條線索, Guardicore Labs 團隊最終認為該活動是中國黑客所為,其原因如下:
?攻擊者選擇使用基于中文的編程語言 EPL 編寫工具。
?為此廣告系列部署的某些文件服務器是中文的 HFS 。
?服務器上的許多日志文件和二進制文件都包含中文字符串,例如包含已破壞機器的日志中的結果 - 去重復(“ duplicates removed ”),或者以啟動端口掃描的腳本名稱中的開始(“ start ”)。
參考來源:Bleeping Computer
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
