Un nuevo informe realizado por los laboratorios Guardicore ha esbozado los detalles de un cryptojacking prevaleciente (cryptomining) operación contra los servidores de Windows MS-SQL y phpMyAdmin en una escala mundial.
Relacionado: Nueva Scranos rootkit pueden dañar el sistema de múltiples maneras
Campaña Nansh0u malware: Algunos detalles
La campaña maliciosa es apodado Nansh0u y es controlado por un grupo de hackers chinos. El grupo infectado al menos 50,000 servidores con un sofisticado rootkit en modo kernel que evita que el malware de ser terminado.
De acuerdo con el informe, los servidores infectados pertenecen a las empresas del cuidado de la salud, telecomunicaciones, medios de comunicación y sectores de TI.
Los investigadores observaron la liberación y el despliegue de 20 diferentes versiones de carga útil durante la campaña. También se pusieron en contacto con el proveedor de alojamiento de los servidores de ataque, así como el emisor del certificado rootkit. Como resultado, los servidores de ataque fueron llevados hacia abajo y se había revocado el certificado, según el informe.
Tenga en cuenta que la campaña Nansh0u no es un ataque típico cryptojacking. Utiliza técnicas observadas en las amenazas persistentes avanzadas, como certificados falsos y exploits de escalada de privilegios. La campaña muestra simplemente que las herramientas maliciosos sofisticados también pueden ser utilizados por los atacantes no tan sofisticados y hábiles.
¿Cómo se inicia el ataque Nansh0u?
Los atacantes primero ubicar los servidores de Windows y MS-SQL phpMyAdmin de acceso público a través de un escáner de puertos. Entonces, que utilizan fuerza bruta y obtener privilegios de administrador para ejecutar una secuencia de comandos de MS-SQL en el sistema comprometido. Una vez hecho esto, la carga maliciosa se descarga desde un servidor de archivos remoto y se ejecuta con privilegios de SYSTEM.
Una vulnerabilidad específica también se incluye en el supuesto de un ataque – CVE-2014-4113. Este último es un conocido fallo de elevación de privilegios desplegado para obtener privilegios de sistema en equipos comprometidos.
He aquí la descripción oficial de la vulnerabilidad:
win32k.sys en los controladores en modo kernel de Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Ventanas 7 SP1, Ventanas 8, Ventanas 8.1, Windows Server 2012 Oro y R2, y Windows RT Oro y 8.1 permite a usuarios locales conseguir privilegios a través de una aplicación manipulada, tan explotados en estado salvaje en octubre 2014, aka “Win32k.sys vulnerabilidad de elevación de privilegios.”
La vulnerabilidad ayuda a explotar el proceso Winlogon mediante la inyección de código en él. El código inyectado crea un nuevo proceso que hereda privilegios de SYSTEM Winlogon, proporcionar permisos equivalentes como la versión previa, los investigadores explicaron. Después de todo esto se hace, la carga útil instala un malware cripto-minería para extraer una criptomoneda conocido como TurtleCoin.
Al igual que en muchos otros ataques, Nansh0u la operación se basa en una combinación de los nombres de usuario y contraseñas débiles para servidores MS-SQL y phpMyAdmin. Para evitar acciones maliciosas, los administradores deben utilizar siempre fuerte, contraseñas complejas para sus cuentas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: