全球超50000台服务器遭攻击,它说是中国黑客干的

栏目: 编程工具 · 发布时间: 5年前

内容简介:据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击工具破坏,期间每天有超过 700 名新受害者出现。最让人疑惑的是,它们觉得,这事是中国黑客干的。

据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。

调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击 工具 破坏,期间每天有超过 700 名新受害者出现。

最让人疑惑的是,它们觉得,这事是中国黑客干的。

Nansh0u攻击活动

据报道,此次行动仅为 Nansh0u 攻击活动的一部分——所谓的 Nansh0u 是对原始加密货币挖掘攻击的复杂化操作。

截至目前,其背后的黑客组织已经感染了全球近 50000 台服务器。研究人员称 , Nansh0u 攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁( APT )中的技术,如假证书和特权升级漏洞。

全球超50000台服务器遭攻击,它说是中国黑客干的

攻击细节分析

Guardicore 针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:

为了破坏 Windows MS-SQL 和 PHPMyAdmin 服务器,黑客使用了一系列工具,包括端口扫描程序, MS-SQL 暴力破解工具和远程执行模块。端口扫描程序允许他们通过检查默认的 MS-SQL 端口是否打开来找到 MS-SQL 服务器,这些服务器将自动送入爆破工具。

一旦服务器被攻破, Nansh0u 活动执行者将使用 MS-SQL 脚本感染 20 个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。

全球超50000台服务器遭攻击,它说是中国黑客干的 攻击流程

随后,恶意程序会使用 CVE-2014-4113 跟踪的权限提升漏洞利用受感染服务器上的 SYSTEM 权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。

正如 Guardicore 的研究人员在分析通过 Guardicore 全球传感器网络( GGSN )和攻击服务器收集的样本后发现的,包装器将:

•执行加密货币挖矿;

•通过编写注册表运行键来创建持久性;

•使用内核模式 rootkit 保护 miner 进程免于终止;

•使用看门狗机制确保挖矿的连续执行。

在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的 VMProtect-obfuscated 内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。

为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit 功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部 Windows 进程对象,以此伪装恶意程序。

全球超50000台服务器遭攻击,它说是中国黑客干的 内核模式驱动程序数字签名

此外,内核模式驱动程序确保丢弃的恶意软件不会被终止,该程序几乎支持从 Windows 7 到 Windows 10 的每个版本的 Windows体统 ,其中甚至也包括测试版。

报道称, Guardicore Labs 团队为此加密劫持活动提供了一个全面的 IoC 列表,其中包含了攻击期间使用的 IP 地址以及挖掘池域的详细信息。

通过上述攻击过程,黑客可获取易受攻击服务器的 IP 地址,端口,用户名和密码,黑客可以篡改服务器设置,并在受害系统上创建 Visual-Basic 脚本文件,以从攻击者的服务器下载恶意文件。

值得一提的是,该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称,实际上该证书很早之前就已经处于撤销状态了。

全球超50000台服务器遭攻击,它说是中国黑客干的

“此次攻击活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害,我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案,“ Guardicore 实验室团队总结道。

它们说:或中国黑客所为

Guardicore 称, Nansh0u 攻击活动的追踪过程中,他们对其攻击对象及手法进行了深入研究,并从中推断出该活动的幕后执行者很可能是中国黑客。

Guardicore 实验室的研究人员称,他们于 2 月 26 日检测到该攻击,进一步调查显示, 4 月份的三次类似攻击的所有源头 IP 地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。

全球超50000台服务器遭攻击,它说是中国黑客干的

而根据多条线索, Guardicore Labs 团队最终认为该活动是中国黑客所为,其原因如下:

•攻击者选择使用基于中文的编程语言 EPL 编写工具。

•为此广告系列部署的某些文件服务器是中文的 HFS 。

•服务器上的许多日志文件和二进制文件都包含中文字符串,例如包含已破坏机器的日志中的结果 - 去重复(“ duplicates removed ”),或者以启动端口扫描的脚本名称中的开始(“ start ”)。

参考来源: Bleeping Computer

雷锋网 (公众号:雷锋网) 雷锋网雷锋网

雷锋网原创文章,未经授权禁止转载。详情见 转载须知

全球超50000台服务器遭攻击,它说是中国黑客干的

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

技术赋权

技术赋权

郑永年 / 邱道隆 / 东方出版社 / 2014-4-1 / CNY 45.00

在本书中,作者对中国互联网的历史做了一次突破性的研究,细致又全面地观察了中国互联网对于国家和社会的影响,发现互联网给中国的社会—政治变革带来了新的动力。政府权力和社会力量在以互联网为媒介的公共领域中转换。 从大量的数据梳理和事实分析中,作者得出了四重的研究结论。首先,互联网给政府和社会都增加了权力。互联网在促进政治自由化中扮演了重要的角色,使政府更加开放、透明和负责任。第二,互联网产生了大量......一起来看看 《技术赋权》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具