全球超50000台服务器遭攻击,它说是中国黑客干的-阿里云开发者社区

开发者社区> 雷锋网> 正文

全球超50000台服务器遭攻击,它说是中国黑客干的

简介: Nansh0u攻击活动再度漫延
+关注继续查看

据 Bleeping Computer 美国时间 5 月 29 日报道,近日,Guardicore 网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛攻击活动。

调查发现,属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击工具破坏,期间每天有超过 700 名新受害者出现。

最让人疑惑的是,它们觉得,这事是中国黑客干的。

Nansh0u攻击活动

据报道,此次行动仅为 Nansh0u 攻击活动的一部分——所谓的 Nansh0u 是对原始加密货币挖掘攻击的复杂化操作。

截至目前,其背后的黑客组织已经感染了全球近 50000 台服务器。研究人员称 , Nansh0u 攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁( APT )中的技术,如假证书和特权升级漏洞。

TB1rhNba8Gw3KVjSZFDXXXWEpXa.jpg

攻击细节分析

Guardicore 针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:

为了破坏 Windows MS-SQL 和 PHPMyAdmin 服务器,黑客使用了一系列工具,包括端口扫描程序, MS-SQL 暴力破解工具和远程执行模块。端口扫描程序允许他们通过检查默认的 MS-SQL 端口是否打开来找到 MS-SQL 服务器,这些服务器将自动送入爆破工具。

一旦服务器被攻破, Nansh0u 活动执行者将使用 MS-SQL 脚本感染 20 个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。

TB1TaI8aUWF3KVjSZPhXXXclXXa.png

攻击流程

随后,恶意程序会使用 CVE-2014-4113 跟踪的权限提升漏洞利用受感染服务器上的 SYSTEM 权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。

正如 Guardicore 的研究人员在分析通过 Guardicore 全球传感器网络( GGSN )和攻击服务器收集的样本后发现的,包装器将:

•执行加密货币挖矿;

•通过编写注册表运行键来创建持久性;

•使用内核模式 rootkit 保护 miner 进程免于终止;

•使用看门狗机制确保挖矿的连续执行。

在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的 VMProtect-obfuscated 内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。

为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit 功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部 Windows 进程对象,以此伪装恶意程序。

TB1evc9aSSD3KVjSZFKXXb10VXa.png

内核模式驱动程序数字签名

此外,内核模式驱动程序确保丢弃的恶意软件不会被终止,该程序几乎支持从 Windows 7 到 Windows 10 的每个版本的 Windows体统 ,其中甚至也包括测试版。

报道称, Guardicore Labs 团队为此加密劫持活动提供了一个全面的 IoC 列表,其中包含了攻击期间使用的 IP 地址以及挖掘池域的详细信息。

通过上述攻击过程,黑客可获取易受攻击服务器的 IP 地址,端口,用户名和密码,黑客可以篡改服务器设置,并在受害系统上创建 Visual-Basic 脚本文件,以从攻击者的服务器下载恶意文件。

值得一提的是,该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称,实际上该证书很早之前就已经处于撤销状态了。

TB1LNI7aLWG3KVjSZFgXXbTspXa.jpg

“此次攻击活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害,我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案,“ Guardicore 实验室团队总结道。

它们说:或中国黑客所为

Guardicore 称, Nansh0u 攻击活动的追踪过程中,他们对其攻击对象及手法进行了深入研究,并从中推断出该活动的幕后执行者很可能是中国黑客。

Guardicore 实验室的研究人员称,他们于 2 月 26 日检测到该攻击,进一步调查显示, 4 月份的三次类似攻击的所有源头 IP 地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。

TB13Qg7aMKG3KVjSZFLXXaMvXXa.png

而根据多条线索, Guardicore Labs 团队最终认为该活动是中国黑客所为,其原因如下:

•攻击者选择使用基于中文的编程语言 EPL 编写工具。

•为此广告系列部署的某些文件服务器是中文的 HFS 。

•服务器上的许多日志文件和二进制文件都包含中文字符串,例如包含已破坏机器的日志中的结果 - 去重复(“ duplicates removed ”),或者以启动端口扫描的脚本名称中的开始(“ start ”)。

参考来源:Bleeping Computer

雷锋网雷锋网(公众号:雷锋网)雷锋网

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10001 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
12064 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13798 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9146 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4650 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4469 0
+关注
516
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载
《2021云上架构与运维峰会演讲合集》
立即下载