全球超5万台服务器遭攻击 它说是中国黑客干的

据Bleeping Computer美国时间5月29日报道，近日，Guardicore网络安全实验室的研究人员发布了一份详细的报告，内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。

调查发现，属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏，期间每天有超过700名新受害者出现。

最让人疑惑的是，它们觉得，这事是中国黑客干的。

Nansh0u攻击活动

据报道，此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。

截至目前，其背后的黑客组织已经感染了全球近50000台服务器。研究人员称，Nansh0u攻击活动与常规情况下的加密劫持行为不同，它使用了常见于高级持续威胁（APT）中的技术，如假证书和特权升级漏洞。

攻击细节分析

Guardicore针对此次发现的攻击行为进行深入研究，并在报告中详细阐述了其攻击原理：

为了破坏Windows MS-SQL和PHPMyAdmin服务器，黑客使用了一系列工具，包括端口扫描程序，MS-SQL暴力破解工具和远程执行模块。

端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器，这些服务器将自动送入爆破工具。

一旦服务器被攻破，Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本，该脚本将在受感染的计算机上下载并启动有效负载。

攻击流程

随后，恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载，每个已删除和执行的有效负载均被设计为执行多个操作的包装器。

正如Guardicore的研究人员在分析通过Guardicore全球传感器网络（GGSN）和攻击服务器收集的样本后发现的，包装器将：

－ 执行加密货币挖矿

－ 通过编写注册表运行键来创建持久性

－ 使用内核模式rootkit保护miner进程免于终止

－ 使用看门狗机制确保挖矿的连续执行

在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序，这将引发大多数AV引擎的检测程序启动。

为了不被恶意软件查杀引擎“和谐”掉，它还包含了rootkit功能，可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象，以此伪装恶意程序。

内核模式驱动程序数字签名

此外，内核模式驱动程序确保丢弃的恶意软件不会被终止，该程序几乎支持从Windows 7到Windows 10的每个版本的Windows体统，其中甚至也包括测试版。

报道称，GuardicoreLabs团队为此加密劫持活动提供了一个全面的IoC列表，其中包含了攻击期间使用的IP地址以及挖掘池域的详细信息。

通过上述攻击过程，黑客可获取易受攻击服务器的IP地址，端口，用户名和密码，黑客可以篡改服务器设置，并在受害系统上创建Visual-Basic脚本文件，以从攻击者的服务器下载恶意文件。

值得一提的是，该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称，实际上该证书很早之前就已经处于撤销状态了。

“此次攻击活动再次证明，普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害，我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案，“Guardicore实验室团队总结道。

它们说：或中国黑客所为

Guardicore称，Nansh0u攻击活动的追踪过程中，他们对其攻击对象及手法进行了深入研究，并从中推断出该活动的幕后执行者很可能是中国黑客。

Guardicore实验室的研究人员称，他们于2月26日检测到该攻击，进一步调查显示，4月份的三次类似攻击的所有源头IP地址都来自南非，它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。

而根据多条线索，GuardicoreLabs团队最终认为该活动是中国黑客所为，其原因如下：

－ 攻击者选择使用基于中文的编程语言EPL编写工具。

－ 为此广告系列部署的某些文件服务器是中文的HFS。

－ 服务器上的许多日志文件和二进制文件都包含中文字符串，例如包含已破坏机器的日志中的结果-去重复（“duplicatesremoved”），或者以启动端口扫描的脚本名称中的开始（“start”）。