Mehr als 50,000 MS-SQL und phpMyAdmin-Server wurden von Rootkits und Knappen infiziert

Die Spezialisten von Guardicore Labs berichtet über Entdeckung der Malware Nansh0u, und einige chinesische Hacker-Gruppe ist dafür verantwortlich.

Ter Angreifer Kompromiss MS-SQL und PHPMyAdmin Server auf der ganzen Welt, infizieren sie mit einem Kryptowährung Bergmann, und installieren Rootkits, die den Bergmann vor einer Löschung zu schützen.

„Breached Maschinen sind über 50,000 Server für Unternehmen im Gesundheitswesen gehören,, Telekommunikation, Medien und IT-Sektor“, - Bericht Guardicore Labs Forscher.

Gesamtzahl der Downloads aus dem File-Server des Angreifers. Innerhalb eines Monats, Hit zählt verdoppelt.
Gesamtzahl der Downloads aus dem File-Server des Angreifers. Innerhalb eines Monats, Hit zählt verdoppelt.

Nach Meinung von Experten, Die Kampagne wurde im Februar ins Leben gerufen 26, 2019, wurde aber erst im April entdeckt, wenn Experten festgestellt, dass Kriminelle verbreiten 20 verschiedene Nutzlasten von verschiedenen Anbietern gehostet.

„Die Nansh0u Kampagne ist kein typischer Krypto-miner Angriff. Es nutzt Techniken oft in APTs wie gefälschte Zertifikate und Privilegieneskalation Exploits“gesehen, - kommentierte Angriffe in Guardicore Labs.

Die erste Phase der Angriffe ist ganz einfach: Angreifer finden schlecht konfiguriert und verletzlich Windows-MS-SQL und phpMyAdmin-Server im Netzwerk, und unter Verwendung von normalen und Brute-Force-Port-Scanning durchdringen, das System, Als Regel, mit hohen Privilegien.

Nächster, Angreifer führen eine Reihe von MS-SQL, um die bösartigen Nutzlast von dem Remote-Server zum Download-Befehle. Nachdem, die Malware (und es ist die TurtleCoin Kryptowährung Miner) läuft mit den Rechten von SYSTEM – dafür, Hacker anwenden, die bekannte Sicherheitslücke CVE-2014-4113, was erlaubt Rechte erhebend.

Der Angriff Fluss der Nansh0u Kampagne
Der Angriff Fluss der Nansh0u Kampagne

In Ergänzung, ihre Malware aus der Entfernung zu schützen und die Stabilität der Infektion sicherzustellen,, Angreifer verwenden, um einen Kernel-Mode-Rootkit, durch ein Zertifikat von der unterzeichneten VeriSign Zertifizierungsstelle. Zur Zeit, das Zertifikat bereits abgelaufen ist, Außerdem, es wurde ursprünglich von der gefälschten chinesischen Firma ausgestellt Hangzhou Hootian Network Technology.

“Diese Kampagne wurde deutlich von der Phase des IPs, bis die Infektion von Opfer-Maschinen-Scan entwickelt und Bergbau die Krypto-Münze. jedoch, verschiedene Fehler und Fehler bedeuten, dass dies nicht ein gründlich getestete Betrieb”, - argumentieren in Guardicore Labs.

Die Forscher untersuchten auch Ursprung der Angreifer.

Wir können sicher sagen, dass die chinesischen Angreifer diese Kampagne betrieben haben. Wir stützen diese Hypothese auf den folgenden Beobachtungen:

1. Der Angreifer wählte ihre Werkzeuge mit EPL schreiben, eine chinesisch-basierte Programmiersprache.
2. Einige der Dateiserver für diese Kampagne im Einsatz sind hfss auf Chinesisch.

Entdeckung & Verhütung

Was ermöglicht diesen Angriff auf Windows-MS-SQL-Server an erster Stelle, schwache Benutzernamen und Passwörter für die Authentifizierung wird mit. So trivial es klingen mag, mit starken Anmeldeinformationen ist der Unterschied zwischen einer infizierten und einer sauberen Maschine.

Guardicore Labs-Experten haben bereits eine Liste von Kompromiss Indikatoren veröffentlicht, und schrieb ein spezielles Skript Powershell, die Nansh0u Infektion oder seine Überreste helfen erkennt.

Quelle: https://www.guardicore.com

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"