Nansh0u攻击活动蔓延,MS-SQL和PHPMyAdmin服务器遭殃

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/31 10:12:28 182次阅读 国际
文章来源:http://www.mottoin.com/detail/3996.html

? ? 今天,Guardicore网络安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。

B7l6AIlKUVxcST3kvOFisM8sHGNsY7orR27O5PDp.png


Nansh0u攻击活动


? ? 据报道,该活动被称为Nansh0u,其背后的黑客组织已经感染了全球近5万台服务器,并在受感染的系统上安装一个复杂的内核模式rootkit,以防止恶意软件被“和谐”。


? ? Nansh0u攻击活动的历史最早可以追溯到今年2月26日,但在4月初才首次被发现,其针对位于世界各地来自各行各业的公司的服务器,每天有超过700名的新受害者。进一步调查显示4月份的三次类似攻击,其所有源头IP地址都来自南非,它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。


? ? 截至目前,威胁行为者据发现已经在各种托管服务提供商上部署了20种不同的有效载荷版本。

GANccnKYwCbjXsUP2PsMD7ENbS5KvZU1ezp8kO3u.png

恶意负载创建时间表


攻击细节


? ? 为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。

p4JlJH4KBoe7rguul2X4zsZ6vNqJkFijOpQDqaHy.png

攻击流程


? ? 该攻击方式非常依赖暴力破解,在此之前它使用简单的端口扫描程序查找可公开访问的Windows MS-SQL和PHPMyAdmin服务器。


? ? 该工具尝试使用数万个常用凭据登录到每个MS-SQL服务器。验证成功后,该服务器的地址、用户名和密码将保存到文件中以备将来使用。

wXM7SH8P4qyD3Nyrb0n9kWKzoWpgk5jtLK3XiBxN.png

攻击者密码词典


? ? 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列MS-SQL命令,以从远程文件服务器下载恶意负载,并以SYSTEM权限运行它。


? ? 在后台,恶意负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的SYSTEM权限。“使用此Windows权限,攻击该漏洞将代码注入Winlogon进程。注入的代码会创建一个新进程,该进程接管Winlogon SYSTEM权限,提供与先前版本相同的权限。”


? ? 随后,恶意负载在受感染的服务器上安装挖矿恶意软件以挖掘TurtleCoin开源加密货币。


? ? 除此之外,恶意软件还可以使用数字签名的内核模式rootkit获得持久性,以保护其进程不被终止。

sbqbMyEUnpThDZLG8UOsLTQfQlIVh4O3vkuFLrA0.png

内核模式驱动程序数字签名


? ? 由于攻击依赖于MS-SQL和PHPMyAdmin服务器的弱用户名和密码组合,因此安全研究人员建议管理员始终为其帐户设置一个复杂的强密码。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室