Un nuovo rapporto realizzato da Guardicore Labs ha delineato i dettagli di un cryptojacking prevalente (cryptomining) operazione mira i server di Windows MS-SQL e phpMyAdmin su scala globale.
Correlata: Nuovo Scranos Rookit possono danneggiare il sistema in modo più
Nansh0u Malware campagna: alcuni dettagli
La campagna dannoso è doppiato Nansh0u ed è controllato da un gruppo di hacking cinese. Il gruppo infettato almeno 50,000 server con un sofisticato rootkit kernel-mode che impedisce il malware venga terminato.
Secondo il rapporto, i server infetti appartengono ad aziende nel settore sanitario, telecomunicazioni, media e settori IT.
I ricercatori hanno osservato il rilascio e la diffusione di 20 versioni payload differenti durante la campagna. Hanno anche messo in contatto con il fornitore di hosting dei server di attacco, nonché l'emittente del certificato rootkit. Di conseguenza, i server di attacco sono stati presi verso il basso e il certificato è stato revocato, dice il rapporto.
Si noti che la campagna Nansh0u non è un tipico attacco cryptojacking. Esso utilizza tecniche osservate in minacce avanzate persistenti, come certificati falsi ed exploit privilegio di escalation. La campagna dimostra semplicemente che sofisticati strumenti maligni possono anche essere utilizzati da aggressori non-così-sofisticati e abili.
Come è l'attacco Nansh0u avviato?
Gli aggressori prima individuare i server di Windows MS-SQL e phpMyAdmin accessibili al pubblico tramite un port scanner. Poi, usano bruta forzatura e ottenere privilegi di amministratore per eseguire una sequenza di MS-SQL comandi sul sistema compromesso. Una volta fatto questo, il payload dannoso viene scaricato da un file server remoto ed è gestito con privilegi di sistema.
Una vulnerabilità specifica è anche incluso nello scenario di attacco – CVE-2014-4113. Quest'ultimo è un noto bug escalation dei privilegi schierato per ottenere privilegi di sistema su host compromessi.
Ecco la descrizione ufficiale della vulnerabilità:
win32k.sys nei driver in modalità kernel in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Oro e R2, e Windows RT Oro e 8.1 consente agli utenti locale di ottenere privilegi tramite un'applicazione artigianale, come sfruttati in natura nel mese di ottobre 2014, aka “Win32k.sys Elevazione della vulnerabilità nell'acquisizione di privilegi.”
La vulnerabilità aiuta sfruttano il processo Winlogon iniettando codice in esso. Il codice iniettato crea un nuovo processo che eredita i privilegi di sistema Winlogon, fornendo autorizzazioni equivalenti come la versione precedente, i ricercatori hanno spiegato. Dopo questo è tutto fatto, il carico utile di malware installa un cripto-mining per estrarre un criptovaluta noto come TurtleCoin.
Simile a molti altri attacchi, l'operazione Nansh0u si basa su una combinazione di nomi utente e le password deboli per i server MS-SQL e phpMyAdmin. Per evitare exploit maligni, Gli amministratori devono sempre utilizzare forte, password complesse per gli account.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: