Nansh0u Kampagne inficerer 50,000 Servere med Kernel-Mode Rootkit
CYBER NEWS

Nansh0u Kampagne inficerer 50,000 Servere med Kernel-Mode Rootkit

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

En ny rapport udført af Guardicore Labs har skitseret detaljerne i en fremherskende cryptojacking (cryptomining) operation rettet mod Windows MS-SQL og phpMyAdmin servere på verdensplan.




Relaterede: Ny Scranos Rookit kan skade dit system på flere måder.

Nansh0u Malware kampagne: Nogle Detaljer

Den ondsindede kampagne er døbt Nansh0u og styres af en kinesisk hacking gruppe. Gruppen inficeret mindst 50,000 servere med en sofistikeret kernel-mode rootkit som forhindrer malware i at blive opsagt.

Ifølge rapporten, de inficerede servere tilhører virksomheder i sundhedssektoren, telekommunikation, medier og IT-sektorerne.

Forskerne observerede frigivelse og indsættelse af 20 forskellige nyttelast versioner i løbet af kampagnen. De fik også kontakt til udbyder af angrebet servere samt udstederen af ​​rootkit certifikat. Som et resultat, angreb serverne blev taget ned og certifikat er tilbagekaldt, hedder det i rapporten.

Bemærk, at Nansh0u kampagne er ikke en typisk cryptojacking angreb. Det bruger teknikker observeret i avancerede vedvarende trusler, ligesom falske certifikater og privilegium eskalering exploits. Kampagnen viser blot, at sofistikerede ondsindede værktøjer også kan udnyttes af ikke-så-sofistikerede og dygtige angribere.

Relaterede: Syv måder at beskytte dig mod Cryptojacking.

Hvordan er Nansh0u angreb indledt?

Angriberne først finde offentligt tilgængelige Windows MS-SQL og phpMyAdmin servere via en port scanner. Derefter, de bruger brute-tvinger og få administratorrettigheder at udføre en sekvens af MS-SQL-kommandoer på kompromitteret system. Når dette er gjort, den skadelige payload er hentet fra en ekstern filserver og drives med systemrettigheder.

En specifik sårbarhed er også inkluderet i angrebsscenarie – CVE-2014-4113. Sidstnævnte er en velkendt rettighedsforøgelse bug indsat for at opnå systemrettigheder på kompromitterede værter.

Her er den officielle beskrivelse af sårbarheden:

Win32k.sys i chauffører de kernel-mode i Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 og R2 SP1, Vinduer 7 SP1, Vinduer 8, Vinduer 8.1, Windows Server 2012 Guld og R2, og Windows RT Guld og 8.1 muligt for lokale brugere at opnå rettigheder via en udformet program, som udnyttes i naturen i oktober 2014, aka “Win32k.sys udvidelse af rettigheder Sårbarhed.”

Sårbarheden hjælper udnytte Winlogon processen ved at indsprøjte kode ind i det. Den injicerede kode opretter en ny proces, der arver Winlogon SYSTEM privilegier, giver tilsvarende tilladelser som den tidligere version, forskerne forklarede. Når dette er alle gjort, nyttelasten installerer et krypto-minedrift malware til at udvinde en cryptocurrency kendt som TurtleCoin.

I lighed med mange andre angreb, den Nansh0u operation er afhængig af en kombination af svage brugernavne og adgangskoder til MS-SQL og phpMyAdmin servere. For at undgå skadelige exploits, administratorer bør altid bruge stærk, komplekse adgangskoder til deres konti.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler!

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...