内容简介:据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击工具破坏,期间每天有超过 700 名新受害者出现。最让人疑惑的是,它们觉得,这事是中国黑客干的。
据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击 工具 破坏,期间每天有超过 700 名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为 Nansh0u 攻击活动的一部分——所谓的 Nansh0u 是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近 50000 台服务器。研究人员称 , Nansh0u 攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁( APT )中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore 针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏 Windows MS-SQL 和 PHPMyAdmin 服务器,黑客使用了一系列工具,包括端口扫描程序, MS-SQL 暴力破解工具和远程执行模块。端口扫描程序允许他们通过检查默认的 MS-SQL 端口是否打开来找到 MS-SQL 服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破, Nansh0u 活动执行者将使用 MS-SQL 脚本感染 20 个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用 CVE-2014-4113 跟踪的权限提升漏洞利用受感染服务器上的 SYSTEM 权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如 Guardicore 的研究人员在分析通过 Guardicore 全球传感器网络( GGSN )和攻击服务器收集的样本后发现的,包装器将:
•执行加密货币挖矿;
•通过编写注册表运行键来创建持久性;
•使用内核模式 rootkit 保护 miner 进程免于终止;
•使用看门狗机制确保挖矿的连续执行。
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的 VMProtect-obfuscated 内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit 功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部 Windows 进程对象,以此伪装恶意程序。
内核模式驱动程序数字签名
此外,内核模式驱动程序确保丢弃的恶意软件不会被终止,该程序几乎支持从 Windows 7 到 Windows 10 的每个版本的 Windows体统 ,其中甚至也包括测试版。
报道称, Guardicore Labs 团队为此加密劫持活动提供了一个全面的 IoC 列表,其中包含了攻击期间使用的 IP 地址以及挖掘池域的详细信息。
通过上述攻击过程,黑客可获取易受攻击服务器的 IP 地址,端口,用户名和密码,黑客可以篡改服务器设置,并在受害系统上创建 Visual-Basic 脚本文件,以从攻击者的服务器下载恶意文件。
值得一提的是,该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称,实际上该证书很早之前就已经处于撤销状态了。
“此次攻击活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害,我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案,“ Guardicore 实验室团队总结道。
它们说:或中国黑客所为
Guardicore 称, Nansh0u 攻击活动的追踪过程中,他们对其攻击对象及手法进行了深入研究,并从中推断出该活动的幕后执行者很可能是中国黑客。
Guardicore 实验室的研究人员称,他们于 2 月 26 日检测到该攻击,进一步调查显示, 4 月份的三次类似攻击的所有源头 IP 地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。
而根据多条线索, Guardicore Labs 团队最终认为该活动是中国黑客所为,其原因如下:
•攻击者选择使用基于中文的编程语言 EPL 编写工具。
•为此广告系列部署的某些文件服务器是中文的 HFS 。
•服务器上的许多日志文件和二进制文件都包含中文字符串,例如包含已破坏机器的日志中的结果 - 去重复(“ duplicates removed ”),或者以启动端口扫描的脚本名称中的开始(“ start ”)。
参考来源: Bleeping Computer
雷锋网 (公众号:雷锋网) 雷锋网雷锋网
雷锋网原创文章,未经授权禁止转载。详情见 转载须知 。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 物联网对黑客来说是个好消息
- Mozilla CEO:微软“投诚” Chromium 对用户来说是灾难
- 为什么 React16 对开发人员来说是一种福音
- 仅仅知道如何终止XHR请求,或许对你来说是不够的!
- 我司用了 6 年的 Redis 分布式限流器,可以说是非常厉害了
- 我司用了 6 年的 Redis 分布式限流器,可以说是非常厉害了
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
松本行弘的程式世界
松本行弘 / 鄧瑋敦 / 博碩 / 2010年07月27日
讓Ruby之父教您大師級的程式思考術! 本書以松本行弘先生對程式本質的深層認知、各種技術之優缺點的掌握,闡述Ruby這套程式語言的設計理念,並由此延伸讓您一窺程式設計的奧妙之處。本書內含許多以Ruby、Lisp、Smalltalk、Erlang、JavaScript等動態語言所寫成的範例,從動態語言、函數式程式設計等領域開展您的學習視野。 本書精華: ‧物件導向與抽象化 ‧......一起来看看 《松本行弘的程式世界》 这本书的介绍吧!