安全動(dòng)態(tài)

黑客通過(guò) Rootkit 惡意軟件感染超 5 萬(wàn)臺(tái) MS-SQL 和 PHPMyAdmin 服務(wù)器

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-05-30    瀏覽次數(shù):
 

信息來(lái)源:cnBeta

Guardicore Labs 的安全研究人員發(fā)布了一份報(bào)告,該報(bào)告關(guān)于在全球范圍內(nèi)攻擊 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器的黑客活動(dòng),代號(hào)“Nansh0u”,且這一攻擊源頭是中國(guó)黑客。報(bào)告稱(chēng),包括屬于醫(yī)療保健、電信、媒體和 IT 公司等在內(nèi)的 50,000 多臺(tái)服務(wù)器受到了攻擊,一旦受到攻擊,目標(biāo)服務(wù)器就會(huì)被惡意負(fù)載感染。黑客還安裝了一個(gè)復(fù)雜的內(nèi)核模式 rootkit 來(lái)防止惡意軟件被終止。

這并非典型的加密攻擊,它使用 APT (Advanced Persistent Threat,高級(jí)持續(xù)性威脅,本質(zhì)是針對(duì)性攻擊)中經(jīng)常出現(xiàn)的技術(shù),例如假證書(shū)和特權(quán)升級(jí)漏洞。

該攻擊活動(dòng)于 4 月初被首次發(fā)現(xiàn),但可以追溯至 2 月 26 日,每天有超過(guò) 700 個(gè)新的受害者。研究人員發(fā)現(xiàn)已存在 20 多種不同的有效惡意負(fù)載,這期間每周至少會(huì)有一個(gè)新的惡意負(fù)載被創(chuàng)建,受感染的計(jì)算機(jī)數(shù)量在一個(gè)月內(nèi)就已翻倍。

在使用管理權(quán)限成功登錄身份驗(yàn)證后,攻擊者在受感染系統(tǒng)上執(zhí)行一系列 MS-SQL 命令,以從遠(yuǎn)程文件服務(wù)器下載惡意負(fù)載,并以 SYSTEM 權(quán)限運(yùn)行它。

在后臺(tái),有效負(fù)載利用已知的權(quán)限提升漏洞(CVE-2014-4113)來(lái)獲取受感染系統(tǒng)的 SYSTEM 權(quán)限。

然后,有效負(fù)載在受感染的服務(wù)器上安裝加密貨幣挖掘惡意軟件以挖掘 TurtleCoin 加密貨幣。

研究人員還發(fā)布了一份完整的 IoC(危害指標(biāo))列表和一個(gè)免費(fèi)的基于 PowerShell 的腳本,Windows 管理員可以使用它來(lái)檢查他們的系統(tǒng)是否被感染。

由于攻擊依賴(lài)于 MS-SQL 和 PHPMyAdmin 服務(wù)器的弱用戶(hù)名和密碼組合,因此,強(qiáng)烈建議管理員為賬戶(hù)設(shè)置一個(gè)復(fù)雜密碼。

調(diào)查報(bào)告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

 
 

上一篇:2019年05月29日 聚銘安全速遞

下一篇:2019年05月30日 聚銘安全速遞