En ny rapport udført af Guardicore Labs har skitseret detaljerne i en fremherskende cryptojacking (cryptomining) operation rettet mod Windows MS-SQL og phpMyAdmin servere på verdensplan.
Relaterede: Ny Scranos Rookit kan skade dit system på flere måder
Nansh0u Malware kampagne: Nogle Detaljer
Den ondsindede kampagne er døbt Nansh0u og styres af en kinesisk hacking gruppe. Gruppen inficeret mindst 50,000 servere med en sofistikeret kernel-mode rootkit som forhindrer malware i at blive opsagt.
Ifølge rapporten, de inficerede servere tilhører virksomheder i sundhedssektoren, telekommunikation, medier og IT-sektorerne.
Forskerne observerede frigivelse og indsættelse af 20 forskellige nyttelast versioner i løbet af kampagnen. De fik også kontakt til udbyder af angrebet servere samt udstederen af rootkit certifikat. Som et resultat, angreb serverne blev taget ned og certifikat er tilbagekaldt, hedder det i rapporten.
Bemærk, at Nansh0u kampagne er ikke en typisk cryptojacking angreb. Det bruger teknikker observeret i avancerede vedvarende trusler, ligesom falske certifikater og privilegium eskalering exploits. Kampagnen viser blot, at sofistikerede ondsindede værktøjer også kan udnyttes af ikke-så-sofistikerede og dygtige angribere.
Hvordan er Nansh0u angreb indledt?
Angriberne først finde offentligt tilgængelige Windows MS-SQL og phpMyAdmin servere via en port scanner. Derefter, de bruger brute-tvinger og få administratorrettigheder at udføre en sekvens af MS-SQL-kommandoer på kompromitteret system. Når dette er gjort, den skadelige payload er hentet fra en ekstern filserver og drives med systemrettigheder.
En specifik sårbarhed er også inkluderet i angrebsscenarie – CVE-2014-4113. Sidstnævnte er en velkendt rettighedsforøgelse bug indsat for at opnå systemrettigheder på kompromitterede værter.
Her er den officielle beskrivelse af sårbarheden:
Win32k.sys i chauffører de kernel-mode i Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 og R2 SP1, Vinduer 7 SP1, Vinduer 8, Vinduer 8.1, Windows Server 2012 Guld og R2, og Windows RT Guld og 8.1 muligt for lokale brugere at opnå rettigheder via en udformet program, som udnyttes i naturen i oktober 2014, aka “Win32k.sys udvidelse af rettigheder Sårbarhed.”
Sårbarheden hjælper udnytte Winlogon processen ved at indsprøjte kode ind i det. Den injicerede kode opretter en ny proces, der arver Winlogon SYSTEM privilegier, giver tilsvarende tilladelser som den tidligere version, forskerne forklarede. Når dette er alle gjort, nyttelasten installerer et krypto-minedrift malware til at udvinde en cryptocurrency kendt som TurtleCoin.
I lighed med mange andre angreb, den Nansh0u operation er afhængig af en kombination af svage brugernavne og adgangskoder til MS-SQL og phpMyAdmin servere. For at undgå skadelige exploits, administratorer bør altid bruge stærk, komplekse adgangskoder til deres konti.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: