Un nouveau rapport réalisé par Guardicore Labs a décrit les détails d'un cryptojacking en vigueur (cryptomining) opération visant les serveurs Windows MS-SQL et PHPMyAdmin à l'échelle mondiale.
en relation: New Scranos rootkit peut endommager votre système en multiples façons
Nansh0u Malware Campagne: Quelques détails
La campagne malveillante est surnommé Nansh0u et est contrôlée par un groupe de hacking chinois. Le groupe infecté au moins 50,000 serveurs avec un rootkit sophistiqué en mode noyau qui empêche les logiciels malveillants d'être terminée.
Selon le rapport, les serveurs infectés appartiennent à des entreprises dans les soins de santé, télécommunications, les médias et les secteurs de l'informatique.
Les chercheurs ont observé la libération et le déploiement de 20 différentes versions de charge utile pendant la campagne. Ils ont également pris contact avec le fournisseur d'hébergement des serveurs d'attaque ainsi que l'émetteur du certificat de rootkit. Par conséquent, les serveurs d'attaque ont été prises vers le bas et le certificat a été révoqué, le rapport.
Notez que la campagne Nansh0u est pas une attaque cryptojacking typique. Il utilise des techniques observées dans les menaces persistantes avancées, comme faux certificats et les exploits d'escalade de privilèges. La campagne montre simplement que les outils malveillants sophistiqués peuvent également être utilisés par pas si sophistiqués et des attaquants habiles.
Comment est l'attaque lancée Nansh0u?
Les attaquants d'abord localiser publiquement accessibles les serveurs Windows MS-SQL et PHPMyAdmin via un scanner de port. Puis, ils utilisent-force brute et d'obtenir des privilèges d'administrateur pour exécuter une séquence de commandes MS-SQL sur le système compromis. Une fois cela fait, la charge utile malveillante est téléchargé à partir d'un serveur de fichiers distant et est exécuté avec les privilèges SYSTEM.
Une vulnérabilité spécifique est également inclus dans le scénario d'attaque – CVE-2014-4113. Ce dernier est bien connu bug d'escalade des privilèges déployés pour obtenir des privilèges système sur des hôtes vulnérabilisés.
Voici la description officielle de la vulnérabilité:
win32k.sys dans les pilotes en mode noyau dans Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 et R2 SP1, Fenêtres 7 SP1, Fenêtres 8, Fenêtres 8.1, Windows Server 2012 L'or et R2, et Windows RT or et 8.1 permet aux utilisateurs locaux d'obtenir des privilèges via une application conçue, comme exploités à l'état sauvage en Octobre 2014, alias “Win32k.sys vulnérabilité d'élévation de privilèges.”
La vulnérabilité permet d'exploiter le processus Winlogon en injectant du code dans ce. Le code injecté crée un nouveau processus qui hérite des privilèges SYSTEM Winlogon, fournir des autorisations équivalentes à la version antérieure, les chercheurs ont expliqué. Après tout cela est fait, la charge utile installe un malware crypto-mines à la mine un crypto-monnaie connue sous le nom TurtleCoin.
Comme beaucoup d'autres attaques, l'opération Nansh0u se fonde sur une combinaison de noms d'utilisateur et mots de passe faibles pour les serveurs MS-SQL et PHPMyAdmin. Pour éviter les exploits malveillants, Les administrateurs doivent toujours utiliser une forte, mots de passe complexes pour leurs comptes.