據(jù) Bleeping Computer 美國時間 5 月 29 日報道，近日，Guardicore 網(wǎng)絡(luò)安全實驗室的研究人員發(fā)布了一份詳細的報告，內(nèi)容涉及全球范圍內(nèi)攻擊 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器的廣泛攻擊活動。

調(diào)查發(fā)現(xiàn)，屬于醫(yī)療、保健、電信、媒體和 IT 領(lǐng)域公司的超過 50000 臺服務(wù)器被復雜攻擊工具破壞，期間每天有超過 700 名新受害者出現(xiàn)。

最讓人疑惑的是，它們覺得，這事是中國黑客干的。

Nansh0u攻擊活動

據(jù)報道，此次行動僅為 Nansh0u 攻擊活動的一部分——所謂的 Nansh0u 是對原始加密貨幣挖掘攻擊的復雜化操作。

截至目前，其背后的黑客組織已經(jīng)感染了全球近 50000 臺服務(wù)器。研究人員稱 ， Nansh0u 攻擊活動與常規(guī)情況下的加密劫持行為不同，它使用了常見于高級持續(xù)威脅（ APT ）中的技術(shù)，如假證書和特權(quán)升級漏洞。

攻擊細節(jié)分析

Guardicore 針對此次發(fā)現(xiàn)的攻擊行為進行深入研究，并在報告中詳細闡述了其攻擊原理：

為了破壞 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器，黑客使用了一系列工具，包括端口掃描程序， MS-SQL 暴力破解工具和遠程執(zhí)行模塊。端口掃描程序允許他們通過檢查默認的 MS-SQL 端口是否打開來找到 MS-SQL 服務(wù)器，這些服務(wù)器將自動送入爆破工具。

一旦服務(wù)器被攻破， Nansh0u 活動執(zhí)行者將使用 MS-SQL 腳本感染 20 個不同的惡意負載版本，該腳本將在受感染的計算機上下載并啟動有效負載。

攻擊流程

隨后，惡意程序會使用 CVE-2014-4113 跟蹤的權(quán)限提升漏洞利用受感染服務(wù)器上的 SYSTEM 權(quán)限運行有效負載，每個已刪除和執(zhí)行的有效負載均被設(shè)計為執(zhí)行多個操作的包裝器。

正如 Guardicore 的研究人員在分析通過 Guardicore 全球傳感器網(wǎng)絡(luò)（ GGSN ）和攻擊服務(wù)器收集的樣本后發(fā)現(xiàn)的，包裝器將：

?執(zhí)行加密貨幣挖礦;

?通過編寫注冊表運行鍵來創(chuàng)建持久性;

?使用內(nèi)核模式 rootkit 保護 miner 進程免于終止;

?使用看門狗機制確保挖礦的連續(xù)執(zhí)行。

在受感染的服務(wù)器上丟棄大量有效負載的同時也丟棄了一個隨機命名的 VMProtect-obfuscated 內(nèi)核模式驅(qū)動程序，這將引發(fā)大多數(shù)AV引擎的檢測程序啟動。

為了不被惡意軟件查殺引擎“和諧”掉，它還包含了rootkit 功能，可用于與物理硬件設(shè)備保持通信以及修改此特定惡意軟件未使用的內(nèi)部 Windows 進程對象，以此偽裝惡意程序。

內(nèi)核模式驅(qū)動程序數(shù)字簽名

此外，內(nèi)核模式驅(qū)動程序確保丟棄的惡意軟件不會被終止，該程序幾乎支持從 Windows 7 到 Windows 10 的每個版本的 Windows體統(tǒng) ，其中甚至也包括測試版。

報道稱， Guardicore Labs 團隊為此加密劫持活動提供了一個全面的 IoC 列表，其中包含了攻擊期間使用的 IP 地址以及挖掘池域的詳細信息。

通過上述攻擊過程，黑客可獲取易受攻擊服務(wù)器的 IP 地址，端口，用戶名和密碼，黑客可以篡改服務(wù)器設(shè)置，并在受害系統(tǒng)上創(chuàng)建 Visual-Basic 腳本文件，以從攻擊者的服務(wù)器下載惡意文件。

值得一提的是，該攻擊程序偽造并簽署了由Verisign頒發(fā)給一家名為“杭州Hootian網(wǎng)絡(luò)技術(shù)有限公司”的證書。Guardicore稱，實際上該證書很早之前就已經(jīng)處于撤銷狀態(tài)了。

“此次攻擊活動再次證明，普通密碼仍然是當今攻擊流程中最薄弱的環(huán)節(jié)?？吹匠汕先f的服務(wù)器因簡單的暴力攻擊而受到損害，我們強烈建議公司使用強大的憑據(jù)以及網(wǎng)絡(luò)分段來保護其資產(chǎn)解決方案，“ Guardicore 實驗室團隊總結(jié)道。

它們說：或中國黑客所為

Guardicore 稱， Nansh0u 攻擊活動的追蹤過程中，他們對其攻擊對象及手法進行了深入研究，并從中推斷出該活動的幕后執(zhí)行者很可能是中國黑客。

Guardicore 實驗室的研究人員稱，他們于 2 月 26 日檢測到該攻擊，進一步調(diào)查顯示， 4 月份的三次類似攻擊的所有源頭 IP 地址都來自南非，它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。

而根據(jù)多條線索， Guardicore Labs 團隊最終認為該活動是中國黑客所為，其原因如下：

?攻擊者選擇使用基于中文的編程語言 EPL 編寫工具。

?為此廣告系列部署的某些文件服務(wù)器是中文的 HFS 。

?服務(wù)器上的許多日志文件和二進制文件都包含中文字符串，例如包含已破壞機器的日志中的結(jié)果 - 去重復（“ duplicates removed ”），或者以啟動端口掃描的腳本名稱中的開始（“ start ”）。

參考來源：Bleeping Computer

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。