据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击工具破坏,期间每天有超过 700 名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为 Nansh0u 攻击活动的一部分——所谓的 Nansh0u 是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近 50000 台服务器。研究人员称 , Nansh0u 攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁( APT )中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore 针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏 Windows MS-SQL 和 PHPMyAdmin 服务器,黑客使用了一系列工具,包括端口扫描程序, MS-SQL 暴力破解工具和远程执行模块。端口扫描程序允许他们通过检查默认的 MS-SQL 端口是否打开来找到 MS-SQL 服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破, Nansh0u 活动执行者将使用 MS-SQL 脚本感染 20 个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用 CVE-2014-4113 跟踪的权限提升漏洞利用受感染服务器上的 SYSTEM 权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如 Guardicore 的研究人员在分析通过 Guardicore 全球传感器网络( GGSN )和攻击服务器收集的样本后发现的,包装器将:
•执行加密货币挖矿;
•通过编写注册表运行键来创建持久性;
•使用内核模式 rootkit 保护 miner 进程免于终止;
•使用看门狗机制确保挖矿的连续执行。
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的 VMProtect-obfuscated 内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit 功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部 Windows 进程对象,以此伪装恶意程序。
内核模式驱动程序数字签名
此外,内核模式驱动程序确保丢弃的恶意软件不会被终止,该程序几乎支持从 Windows 7 到 Windows 10 的每个版本的 Windows体统 ,其中甚至也包括测试版。
报道称, Guardicore Labs 团队为此加密劫持活动提供了一个全面的 IoC 列表,其中包含了攻击期间使用的 IP 地址以及挖掘池域的详细信息。
通过上述攻击过程,黑客可获取易受攻击服务器的 IP 地址,端口,用户名和密码,黑客可以篡改服务器设置,并在受害系统上创建 Visual-Basic 脚本文件,以从攻击者的服务器下载恶意文件。
值得一提的是,该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称,实际上该证书很早之前就已经处于撤销状态了。
“此次攻击活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害,我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案,“ Guardicore 实验室团队总结道。
它们说:或中国黑客所为
Guardicore 称, Nansh0u 攻击活动的追踪过程中,他们对其攻击对象及手法进行了深入研究,并从中推断出该活动的幕后执行者很可能是中国黑客。
Guardicore 实验室的研究人员称,他们于 2 月 26 日检测到该攻击,进一步调查显示, 4 月份的三次类似攻击的所有源头 IP 地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。
而根据多条线索, Guardicore Labs 团队最终认为该活动是中国黑客所为,其原因如下:
•攻击者选择使用基于中文的编程语言 EPL 编写工具。
•为此广告系列部署的某些文件服务器是中文的 HFS 。
•服务器上的许多日志文件和二进制文件都包含中文字符串,例如包含已破坏机器的日志中的结果 - 去重复(“ duplicates removed ”),或者以启动端口扫描的脚本名称中的开始(“ start ”)。
参考来源:Bleeping Computer
雷锋网雷锋网(公众号:雷锋网)雷锋网
