據(jù) Bleeping Computer 美國(guó)時(shí)間 5 月 29 日?qǐng)?bào)道，近日，Guardicore 網(wǎng)絡(luò)安全實(shí)驗(yàn)室的研究人員發(fā)布了一份詳細(xì)的報(bào)告，內(nèi)容涉及全球范圍內(nèi)攻擊 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器的廣泛攻擊活動(dòng)。

調(diào)查發(fā)現(xiàn)，屬于醫(yī)療、保健、電信、媒體和 IT 領(lǐng)域公司的超過(guò) 50000 臺(tái)服務(wù)器被復(fù)雜攻擊工具破壞，期間每天有超過(guò) 700 名新受害者出現(xiàn)。

最讓人疑惑的是，它們覺(jué)得，這事是中國(guó)黑客干的。

Nansh0u攻擊活動(dòng)

據(jù)報(bào)道，此次行動(dòng)僅為 Nansh0u 攻擊活動(dòng)的一部分——所謂的 Nansh0u 是對(duì)原始加密貨幣挖掘攻擊的復(fù)雜化操作。

截至目前，其背后的黑客組織已經(jīng)感染了全球近 50000 臺(tái)服務(wù)器。研究人員稱 ， Nansh0u 攻擊活動(dòng)與常規(guī)情況下的加密劫持行為不同，它使用了常見(jiàn)于高級(jí)持續(xù)威脅（ APT ）中的技術(shù)，如假證書(shū)和特權(quán)升級(jí)漏洞。

攻擊細(xì)節(jié)分析

Guardicore 針對(duì)此次發(fā)現(xiàn)的攻擊行為進(jìn)行深入研究，并在報(bào)告中詳細(xì)闡述了其攻擊原理：

為了破壞 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器，黑客使用了一系列工具，包括端口掃描程序， MS-SQL 暴力破解工具和遠(yuǎn)程執(zhí)行模塊。端口掃描程序允許他們通過(guò)檢查默認(rèn)的 MS-SQL 端口是否打開(kāi)來(lái)找到 MS-SQL 服務(wù)器，這些服務(wù)器將自動(dòng)送入爆破工具。

一旦服務(wù)器被攻破， Nansh0u 活動(dòng)執(zhí)行者將使用 MS-SQL 腳本感染 20 個(gè)不同的惡意負(fù)載版本，該腳本將在受感染的計(jì)算機(jī)上下載并啟動(dòng)有效負(fù)載。

攻擊流程

隨后，惡意程序會(huì)使用 CVE-2014-4113 跟蹤的權(quán)限提升漏洞利用受感染服務(wù)器上的 SYSTEM 權(quán)限運(yùn)行有效負(fù)載，每個(gè)已刪除和執(zhí)行的有效負(fù)載均被設(shè)計(jì)為執(zhí)行多個(gè)操作的包裝器。

正如 Guardicore 的研究人員在分析通過(guò) Guardicore 全球傳感器網(wǎng)絡(luò)（ GGSN ）和攻擊服務(wù)器收集的樣本后發(fā)現(xiàn)的，包裝器將：

?執(zhí)行加密貨幣挖礦;

?通過(guò)編寫(xiě)注冊(cè)表運(yùn)行鍵來(lái)創(chuàng)建持久性;

?使用內(nèi)核模式 rootkit 保護(hù) miner 進(jìn)程免于終止;

?使用看門(mén)狗機(jī)制確保挖礦的連續(xù)執(zhí)行。

在受感染的服務(wù)器上丟棄大量有效負(fù)載的同時(shí)也丟棄了一個(gè)隨機(jī)命名的 VMProtect-obfuscated 內(nèi)核模式驅(qū)動(dòng)程序，這將引發(fā)大多數(shù)AV引擎的檢測(cè)程序啟動(dòng)。

為了不被惡意軟件查殺引擎“和諧”掉，它還包含了rootkit 功能，可用于與物理硬件設(shè)備保持通信以及修改此特定惡意軟件未使用的內(nèi)部 Windows 進(jìn)程對(duì)象，以此偽裝惡意程序。

內(nèi)核模式驅(qū)動(dòng)程序數(shù)字簽名

此外，內(nèi)核模式驅(qū)動(dòng)程序確保丟棄的惡意軟件不會(huì)被終止，該程序幾乎支持從 Windows 7 到 Windows 10 的每個(gè)版本的 Windows體統(tǒng) ，其中甚至也包括測(cè)試版。

報(bào)道稱， Guardicore Labs 團(tuán)隊(duì)為此加密劫持活動(dòng)提供了一個(gè)全面的 IoC 列表，其中包含了攻擊期間使用的 IP 地址以及挖掘池域的詳細(xì)信息。

通過(guò)上述攻擊過(guò)程，黑客可獲取易受攻擊服務(wù)器的 IP 地址，端口，用戶名和密碼，黑客可以篡改服務(wù)器設(shè)置，并在受害系統(tǒng)上創(chuàng)建 Visual-Basic 腳本文件，以從攻擊者的服務(wù)器下載惡意文件。

值得一提的是，該攻擊程序偽造并簽署了由Verisign頒發(fā)給一家名為“杭州Hootian網(wǎng)絡(luò)技術(shù)有限公司”的證書(shū)。Guardicore稱，實(shí)際上該證書(shū)很早之前就已經(jīng)處于撤銷(xiāo)狀態(tài)了。

“此次攻擊活動(dòng)再次證明，普通密碼仍然是當(dāng)今攻擊流程中最薄弱的環(huán)節(jié)。看到成千上萬(wàn)的服務(wù)器因簡(jiǎn)單的暴力攻擊而受到損害，我們強(qiáng)烈建議公司使用強(qiáng)大的憑據(jù)以及網(wǎng)絡(luò)分段來(lái)保護(hù)其資產(chǎn)解決方案，“ Guardicore 實(shí)驗(yàn)室團(tuán)隊(duì)總結(jié)道。

它們說(shuō)：或中國(guó)黑客所為

Guardicore 稱， Nansh0u 攻擊活動(dòng)的追蹤過(guò)程中，他們對(duì)其攻擊對(duì)象及手法進(jìn)行了深入研究，并從中推斷出該活動(dòng)的幕后執(zhí)行者很可能是中國(guó)黑客。

Guardicore 實(shí)驗(yàn)室的研究人員稱，他們于 2 月 26 日檢測(cè)到該攻擊，進(jìn)一步調(diào)查顯示， 4 月份的三次類似攻擊的所有源頭 IP 地址都來(lái)自南非，它們共享相同的攻擊過(guò)程并使用相同的攻擊方法。受害者大多位于中國(guó)、美國(guó)和印度。

而根據(jù)多條線索， Guardicore Labs 團(tuán)隊(duì)最終認(rèn)為該活動(dòng)是中國(guó)黑客所為，其原因如下：

?攻擊者選擇使用基于中文的編程語(yǔ)言 EPL 編寫(xiě)工具。

?為此廣告系列部署的某些文件服務(wù)器是中文的 HFS 。

?服務(wù)器上的許多日志文件和二進(jìn)制文件都包含中文字符串，例如包含已破壞機(jī)器的日志中的結(jié)果 - 去重復(fù)（“ duplicates removed ”），或者以啟動(dòng)端口掃描的腳本名稱中的開(kāi)始（“ start ”）。

參考來(lái)源：Bleeping Computer

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。