Guardicore Labsが実施した新しいレポートでは、一般的なクリプトジャッキングの詳細が概説されています。 (マイニング) グローバル規模でWindowsMS-SQLおよびPHPMyAdminサーバーを対象とした操作.
関連している: 新しいScranosRookitは、複数の方法でシステムに損傷を与える可能性があります
Nansh0uマルウェアキャンペーン: いくつかの詳細
悪意のあるキャンペーンはNansh0uと呼ばれ、中国のハッキンググループによって管理されています. 少なくとも感染したグループ 50,000 マルウェアの終了を防ぐ高度なカーネルモードルートキットを備えたサーバー.
レポートによると, 感染したサーバーはヘルスケアの企業に属しています, 電気通信, メディアおよびITセクター.
研究者は、のリリースと展開を観察しました 20 キャンペーン中の異なるペイロードバージョン. また、攻撃サーバーのホスティングプロバイダー、およびルートキット証明書の発行者とも連絡を取りました。. 結果として, 攻撃サーバーが停止され、証明書が取り消されました, レポートによると.
Nansh0uキャンペーンは典型的なクリプトジャッキング攻撃ではないことに注意してください. 高度な持続的脅威で観察される手法を使用します, 偽の証明書や特権昇格のエクスプロイトなど. このキャンペーンは、洗練された悪意のあるツールが、それほど洗練されていない熟練した攻撃者によっても利用される可能性があることを示しています。.
Nansh0u攻撃はどのように開始されますか?
攻撃者はまず、ポートスキャナーを介して公的にアクセス可能なWindowsMS-SQLおよびPHPMyAdminサーバーを見つけます。. それで, 彼らはブルートフォーシングを使用し、管理者権限を取得して、侵害されたシステムで一連のMS-SQLコマンドを実行します。. これが行われると, 悪意のあるペイロードはリモートファイルサーバーからダウンロードされ、SYSTEM権限で実行されます.
特定の脆弱性も攻撃シナリオに含まれています – CVE-2014-4113. 後者は、侵害されたホストでSYSTEM特権を取得するために展開される、よく知られた特権昇格のバグです。.
これが 公式説明 脆弱性の:
MicrosoftWindowsServerのカーネルモードドライバーのwin32k.sys 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2およびR2SP1, ウィンドウズ 7 SP1, ウィンドウズ 8, ウィンドウズ 8.1, Windows Server 2012 ゴールドとR2, およびWindowsRTGoldおよび 8.1 ローカルユーザーが細工されたアプリケーションを介して特権を取得できるようにします, 10月に野生で搾取されたように 2014, 別名 “Win32k.sys特権の昇格の脆弱性。”
この脆弱性は、Winlogonプロセスにコードを挿入することにより、Winlogonプロセスを悪用するのに役立ちます。. 挿入されたコードは、WinlogonSYSTEM特権を継承する新しいプロセスを作成します, 以前のバージョンと同等の権限を提供する, 研究者は説明した. これがすべて行われた後, ペイロードは、TurtleCoinとして知られる暗号通貨をマイニングするための暗号マイニングマルウェアをインストールします.
他の多くの攻撃と同様, Nansh0uの操作は、MS-SQLサーバーとPHPMyAdminサーバーの弱いユーザー名とパスワードの組み合わせに依存しています。. 悪意のあるエクスプロイトを回避するため, 管理者は常に強力なものを使用する必要があります, アカウントの複雑なパスワード.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: