Ein neuer Bericht von Guardicore Labs durchgeführt hat, die Details eines vorherrschenden cryptojacking skizzierte (cryptomining) Betrieb Targeting Windows-MS-SQL und phpMyAdmin-Server auf globaler Ebene.
verbunden: New Scranos Rookit können Ihr System auf mehrfache Arten Schaden
Nansh0u Malware-Kampagne: Ein paar Details
Die bösartige Kampagne Nansh0u genannt und wird von einer chinesischen Hacking Gruppe gesteuert. Die Gruppe mindestens infiziert 50,000 Server mit einem hoch entwickelten Kernel-Mode-Rootkit, das das Malware wird beendet verhindert.
Nach dem Bericht, die infizierten Server gehören Unternehmen des Gesundheits, Telekommunikation, Medien und IT-Branche.
Die Forscher beobachteten die Veröffentlichung und Bereitstellung von 20 verschiedene Versionen Nutzlast während der Kampagne. Sie haben auch mit dem Hosting-Provider der Angriff Server sowie den Emittenten des Rootkits Zertifikat in Kontakt. Infolge, Der Angriff Server wurden heruntergenommen und das Zertifikat widerrufen, so der Bericht.
Beachten Sie, dass die Nansh0u Kampagne kein typischer cryptojacking Angriff. Es nutzt Techniken in Advanced Persistent Threat beobachtet, wie gefälschte Zertifikate und Privilegieneskalation Exploits. Die Kampagne zeigt einfach, dass anspruchsvolle bösartige Werkzeuge können auch durch nicht-so-hoch entwickelte und geschickten Angreifern genutzt werden,.
Wie wird der Nansh0u Angriff initiiert?
Die Angreifer ausfindig ersten öffentlich zugänglichen Windows-MS-SQL und phpMyAdmin-Server über einen Port-Scanner. Dann, sie verwenden brute-Forcing und Administratorrechte erhalten, die eine Sequenz von MS-SQL zum Ausführen auf dem angegriffenen Systembefehl. Sobald dies geschehen ist, die böswillige Nutzlast wird von einem Remote-Dateiserver heruntergeladen und mit SYSTEM-Rechten ausgeführt.
Eine spezifische Sicherheitslücke ist auch im Angriffsszenario enthalten – CVE-2014-4113. Letzteres ist ein bekannter privilege escalation Fehler eingesetzt, um SYSTEM-Privilegien auf kompromittierten Rechner zu gewinnen.
Hier ist, die offizielle Beschreibung der Verwundbarkeit:
win32k.sys in den Kernel-Modus-Treiber in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 und R2 SP1, Fenster 7 SP1, Fenster 8, Fenster 8.1, Windows Server 2012 Gold und R2, und Windows RT Gold- und 8.1 können lokale Benutzer Privilegien über eine gestaltete Anwendung zu gewinnen, wie in freier Wildbahn im Oktober ausgenutzt 2014, aka “Win32k.sys Erhöhung von Berechtigungen Verletzlichkeit.”
Die Sicherheitslücke hilft durch die Injektion von Code in der Windows-Anmeldung ausnutzen. Der injizierte Code erstellt ein neues Verfahren, das Winlogon SYSTEM-Privilegien erbt, mit gleichwertigen Berechtigungen wie die Vorgängerversion, Die Forscher erklärten,. Danach wird alles getan, die Nutzlast installiert ein Krypto-Mining-Malware eine Kryptowährung als TurtleCoin bekannt verminen.
Ähnlich wie bei vielen anderen Angriffen, die Nansh0u Betrieb auf einer Kombination von schwachen Benutzernamen und Passwörter für MS-SQL und PHPMyAdmin Server setzt. Um zu vermeiden, schädliche Exploits, Administratoren sollten immer stark verwenden, komplexe Passwörter für ihre Konten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: