当前位置:首页 > 芯闻号 > 充电吧
[导读]据Bleeping Computer美国时间5月29日报道,近日,Guardicore网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdm

据Bleeping Computer美国时间5月29日报道,近日,Guardicore网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。

调查发现,属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏,期间每天有超过700名新受害者出现。

最让人疑惑的是,它们觉得,这事是中国黑客干的。

Nansh0u攻击活动

据报道,此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。

截至目前,其背后的黑客组织已经感染了全球近50000台服务器。研究人员称,Nansh0u攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁(APT)中的技术,如假证书和特权升级漏洞。

攻击细节分析

Guardicore针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:

为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。

端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器,这些服务器将自动送入爆破工具。

一旦服务器被攻破,Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。


攻击流程

随后,恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。

正如Guardicore的研究人员在分析通过Guardicore全球传感器网络(GGSN)和攻击服务器收集的样本后发现的,包装器将:

- 执行加密货币挖矿

- 通过编写注册表运行键来创建持久性

- 使用内核模式rootkit保护miner进程免于终止

- 使用看门狗机制确保挖矿的连续执行

在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。

为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象,以此伪装恶意程序。


内核模式驱动程序数字签名

此外,内核模式驱动程序确保丢弃的恶意软件不会被终止,该程序几乎支持从Windows 7到Windows 10的每个版本的Windows体统,其中甚至也包括测试版。

报道称,GuardicoreLabs团队为此加密劫持活动提供了一个全面的IoC列表,其中包含了攻击期间使用的IP地址以及挖掘池域的详细信息。

通过上述攻击过程,黑客可获取易受攻击服务器的IP地址,端口,用户名和密码,黑客可以篡改服务器设置,并在受害系统上创建Visual-Basic脚本文件,以从攻击者的服务器下载恶意文件。

值得一提的是,该攻击程序伪造并签署了由Verisign颁发给一家名为“杭州Hootian网络技术有限公司”的证书。Guardicore称,实际上该证书很早之前就已经处于撤销状态了。

“此次攻击活动再次证明,普通密码仍然是当今攻击流程中最薄弱的环节。看到成千上万的服务器因简单的暴力攻击而受到损害,我们强烈建议公司使用强大的凭据以及网络分段来保护其资产解决方案,“Guardicore实验室团队总结道。

它们说:或中国黑客所为

Guardicore称,Nansh0u攻击活动的追踪过程中,他们对其攻击对象及手法进行了深入研究,并从中推断出该活动的幕后执行者很可能是中国黑客。

Guardicore实验室的研究人员称,他们于2月26日检测到该攻击,进一步调查显示,4月份的三次类似攻击的所有源头IP地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。

而根据多条线索,GuardicoreLabs团队最终认为该活动是中国黑客所为,其原因如下:

- 攻击者选择使用基于中文的编程语言EPL编写工具。

- 为此广告系列部署的某些文件服务器是中文的HFS。

- 服务器上的许多日志文件和二进制文件都包含中文字符串,例如包含已破坏机器的日志中的结果-去重复(“duplicatesremoved”),或者以启动端口扫描的脚本名称中的开始(“start”)。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭