據(jù) Bleeping Computer 美國時間 5 月 29 日報道，近日，Guardicore 網絡安全實驗室的研究人員發(fā)布了一份詳細的報告，內容涉及全球范圍內攻擊 Windows MS-SQL 和 PHPMyAdmin 服務器的廣泛攻擊活動。

調查發(fā)現(xiàn)，屬于醫(yī)療、保健、電信、媒體和 IT 領域公司的超過 50000 臺服務器被復雜攻擊工具破壞，期間每天有超過 700 名新受害者出現(xiàn)。

最讓人疑惑的是，它們覺得，這事是中國黑客干的。

Nansh0u攻擊活動

據(jù)報道，此次行動僅為 Nansh0u 攻擊活動的一部分——所謂的 Nansh0u 是對原始加密貨幣挖掘攻擊的復雜化操作。

截至目前，其背后的黑客組織已經感染了全球近 50000 臺服務器。研究人員稱 ， Nansh0u 攻擊活動與常規(guī)情況下的加密劫持行為不同，它使用了常見于高級持續(xù)威脅（ APT ）中的技術，如假證書和特權升級漏洞。

攻擊細節(jié)分析

Guardicore 針對此次發(fā)現(xiàn)的攻擊行為進行深入研究，并在報告中詳細闡述了其攻擊原理：

為了破壞 Windows MS-SQL 和 PHPMyAdmin 服務器，黑客使用了一系列工具，包括端口掃描程序， MS-SQL 暴力破解工具和遠程執(zhí)行模塊。端口掃描程序允許他們通過檢查默認的 MS-SQL 端口是否打開來找到 MS-SQL 服務器，這些服務器將自動送入爆破工具。

一旦服務器被攻破， Nansh0u 活動執(zhí)行者將使用 MS-SQL 腳本感染 20 個不同的惡意負載版本，該腳本將在受感染的計算機上下載并啟動有效負載。

攻擊流程

隨后，惡意程序會使用 CVE-2014-4113 跟蹤的權限提升漏洞利用受感染服務器上的 SYSTEM 權限運行有效負載，每個已刪除和執(zhí)行的有效負載均被設計為執(zhí)行多個操作的包裝器。

正如 Guardicore 的研究人員在分析通過 Guardicore 全球傳感器網絡（ GGSN ）和攻擊服務器收集的樣本后發(fā)現(xiàn)的，包裝器將：

?執(zhí)行加密貨幣挖礦;

?通過編寫注冊表運行鍵來創(chuàng)建持久性;

?使用內核模式 rootkit 保護 miner 進程免于終止;

?使用看門狗機制確保挖礦的連續(xù)執(zhí)行。

在受感染的服務器上丟棄大量有效負載的同時也丟棄了一個隨機命名的 VMProtect-obfuscated 內核模式驅動程序，這將引發(fā)大多數(shù)AV引擎的檢測程序啟動。

為了不被惡意軟件查殺引擎“和諧”掉，它還包含了rootkit 功能，可用于與物理硬件設備保持通信以及修改此特定惡意軟件未使用的內部 Windows 進程對象，以此偽裝惡意程序。

內核模式驅動程序數(shù)字簽名

此外，內核模式驅動程序確保丟棄的惡意軟件不會被終止，該程序幾乎支持從 Windows 7 到 Windows 10 的每個版本的 Windows體統(tǒng) ，其中甚至也包括測試版。

報道稱， Guardicore Labs 團隊為此加密劫持活動提供了一個全面的 IoC 列表，其中包含了攻擊期間使用的 IP 地址以及挖掘池域的詳細信息。

通過上述攻擊過程，黑客可獲取易受攻擊服務器的 IP 地址，端口，用戶名和密碼，黑客可以篡改服務器設置，并在受害系統(tǒng)上創(chuàng)建 Visual-Basic 腳本文件，以從攻擊者的服務器下載惡意文件。

值得一提的是，該攻擊程序偽造并簽署了由Verisign頒發(fā)給一家名為“杭州Hootian網絡技術有限公司”的證書。Guardicore稱，實際上該證書很早之前就已經處于撤銷狀態(tài)了。

“此次攻擊活動再次證明，普通密碼仍然是當今攻擊流程中最薄弱的環(huán)節(jié)?？吹匠汕先f的服務器因簡單的暴力攻擊而受到損害，我們強烈建議公司使用強大的憑據(jù)以及網絡分段來保護其資產解決方案，“ Guardicore 實驗室團隊總結道。

它們說：或中國黑客所為

Guardicore 稱， Nansh0u 攻擊活動的追蹤過程中，他們對其攻擊對象及手法進行了深入研究，并從中推斷出該活動的幕后執(zhí)行者很可能是中國黑客。

Guardicore 實驗室的研究人員稱，他們于 2 月 26 日檢測到該攻擊，進一步調查顯示， 4 月份的三次類似攻擊的所有源頭 IP 地址都來自南非，它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。

而根據(jù)多條線索， Guardicore Labs 團隊最終認為該活動是中國黑客所為，其原因如下：

?攻擊者選擇使用基于中文的編程語言 EPL 編寫工具。

?為此廣告系列部署的某些文件服務器是中文的 HFS 。

?服務器上的許多日志文件和二進制文件都包含中文字符串，例如包含已破壞機器的日志中的結果 - 去重復（“ duplicates removed ”），或者以啟動端口掃描的腳本名稱中的開始（“ start ”）。

參考來源：Bleeping Computer

雷鋒網雷鋒網雷鋒網

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。