據 Bleeping Computer 美國時間 5 月 29 日報道,近日,Guardicore 網絡安全實驗室的研究人員釋出了一份詳細的報告,内容涉及全球範圍内攻擊 Windows MS-SQL 和 PHPMyAdmin 伺服器的廣泛攻擊活動。
調查發現,屬于醫療、保健、電信、媒體和 IT 領域公司的超過 50000 台伺服器被複雜攻擊工具破壞,期間每天有超過 700 名新受害者出現。
最讓人疑惑的是,它們覺得,這事是中國黑客幹的。
Nansh0u攻擊活動
據報道,此次行動僅為 Nansh0u 攻擊活動的一部分——所謂的 Nansh0u 是對原始加密貨币挖掘攻擊的複雜化操作。
截至目前,其背後的黑客組織已經感染了全球近 50000 台伺服器。研究人員稱 , Nansh0u 攻擊活動與正常情況下的加密劫持行為不同,它使用了常見于進階持續威脅( APT )中的技術,如假證書和特權更新漏洞。
攻擊細節分析
Guardicore 針對此次發現的攻擊行為進行深入研究,并在報告中詳細闡述了其攻擊原理:
為了破壞 Windows MS-SQL 和 PHPMyAdmin 伺服器,黑客使用了一系列工具,包括端口掃描程式, MS-SQL 暴力破解工具和遠端執行子產品。端口掃描程式允許他們通過檢查預設的 MS-SQL 端口是否打開來找到 MS-SQL 伺服器,這些伺服器将自動送入爆破工具。
一旦伺服器被攻破, Nansh0u 活動執行者将使用 MS-SQL 腳本感染 20 個不同的惡意負載版本,該腳本将在受感染的計算機上下載下傳并啟動有效負載。
攻擊流程
随後,惡意程式會使用 CVE-2014-4113 跟蹤的權限提升漏洞利用受感染伺服器上的 SYSTEM 權限運作有效負載,每個已删除和執行的有效負載均被設計為執行多個操作的包裝器。
正如 Guardicore 的研究人員在分析通過 Guardicore 全球傳感器網絡( GGSN )和攻擊伺服器收集的樣本後發現的,包裝器将:
•執行加密貨币挖礦;
•通過編寫系統資料庫運作鍵來建立持久性;
•使用核心模式 rootkit 保護 miner 程序免于終止;
•使用看門狗機制確定挖礦的連續執行。
在受感染的伺服器上丢棄大量有效負載的同時也丢棄了一個随機命名的 VMProtect-obfuscated 核心模式驅動程式,這将引發大多數AV引擎的檢測程式啟動。
為了不被惡意軟體清除引擎“和諧”掉,它還包含了rootkit 功能,可用于與實體硬體裝置保持通信以及修改此特定惡意軟體未使用的内部 Windows 程序對象,以此僞裝惡意程式。
核心模式驅動程式數字簽名
此外,核心模式驅動程式確定丢棄的惡意軟體不會被終止,該程式幾乎支援從 Windows 7 到 Windows 10 的每個版本的 Windows體統 ,其中甚至也包括測試版。
報道稱, Guardicore Labs 團隊為此加密劫持活動提供了一個全面的 IoC 清單,其中包含了攻擊期間使用的 IP 位址以及挖掘池域的詳細資訊。
通過上述攻擊過程,黑客可擷取易受攻擊伺服器的 IP 位址,端口,使用者名和密碼,黑客可以篡改伺服器設定,并在受害系統上建立 Visual-Basic 腳本檔案,以從攻擊者的伺服器下載下傳惡意檔案。
值得一提的是,該攻擊程式僞造并簽署了由Verisign頒發給一家名為“杭州Hootian網絡技術有限公司”的證書。Guardicore稱,實際上該證書很早之前就已經處于撤銷狀态了。
“此次攻擊活動再次證明,普通密碼仍然是當今攻擊流程中最薄弱的環節。看到成千上萬的伺服器因簡單的暴力攻擊而受到損害,我們強烈建議公司使用強大的憑據以及網絡分段來保護其資産解決方案,“ Guardicore 實驗室團隊總結道。
它們說:或中國黑客所為
Guardicore 稱, Nansh0u 攻擊活動的追蹤過程中,他們對其攻擊對象及手法進行了深入研究,并從中推斷出該活動的幕後執行者很可能是中國黑客。
Guardicore 實驗室的研究人員稱,他們于 2 月 26 日檢測到該攻擊,進一步調查顯示, 4 月份的三次類似攻擊的所有源頭 IP 位址都來自南非,它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。
而根據多條線索, Guardicore Labs 團隊最終認為該活動是中國黑客所為,其原因如下:
•攻擊者選擇使用基于中文的程式設計語言 EPL 編寫工具。
•為此廣告系列部署的某些檔案伺服器是中文的 HFS 。
•伺服器上的許多日志檔案和二進制檔案都包含中文字元串,例如包含已破壞機器的日志中的結果 - 去重複(“ duplicates removed ”),或者以啟動端口掃描的腳本名稱中的開始(“ start ”)。
參考來源:Bleeping Computer
雷鋒網雷鋒網(公衆号:雷鋒網)雷鋒網