Um novo relatório realizado por Guardicore Labs delineou os detalhes de um cryptojacking prevalecente (cryptomining) operação contra servidores do Windows MS-SQL e phpMyAdmin em escala global.
relacionado: New Scranos Rookit podem danificar o sistema de formas múltiplas
Campanha Malware Nansh0u: Alguns detalhes
A campanha maliciosa é apelidado Nansh0u e é controlada por um grupo de hackers chineses. O grupo infectado pelo menos 50,000 servidores com um sofisticado rootkit em modo kernel que impede que o malware seja rescindido.
De acordo com o relatório, os servidores infectados pertencem a empresas na saúde, telecomunicações, setores da mídia e TI.
Os investigadores observaram a libertação e de implantação 20 diferentes versões de carga útil durante a campanha. Eles também entrou em contato com o provedor de hospedagem dos servidores de ataque, bem como o emissor do certificado de rootkit. Como um resultado, os servidores de ataque foram levados para baixo e o certificado foi revogado, segundo o relatório.
Note-se que a campanha Nansh0u não é um ataque cryptojacking típico. Ele usa técnicas observadas nas ameaças persistentes avançadas, como certificados falsos e exploits de privilégios. A campanha simplesmente mostra que ferramentas maliciosas sofisticadas também podem ser utilizadas por invasores não tão sofisticados e habilidosos.
Como o ataque Nansh0u é iniciado?
Os invasores primeiro localizam servidores Windows MS-SQL e PHPMyAdmin acessíveis ao público por meio de um scanner de porta. Então, eles usam força bruta e obtêm privilégios de administrador para executar uma sequência de comandos MS-SQL no sistema comprometido. Uma vez feito isso, a carga maliciosa é baixada de um servidor de arquivos remoto e executada com privilégios de SISTEMA.
Uma vulnerabilidade específica também está incluída no cenário de ataque – CVE-2014-4113. O último é um bug conhecido de escalonamento de privilégios, implantado para obter privilégios SYSTEM em hosts comprometidos.
aqui está a descrição oficial da vulnerabilidade:
win32k.sys nos drivers do modo kernel no Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, janelas 7 SP1, janelas 8, janelas 8.1, Windows Server 2012 Ouro e R2, e Windows RT Gold e 8.1 permite que usuários locais obtenham privilégios por meio de um aplicativo criado, como explorado na natureza em outubro 2014, aka “Vulnerabilidade de elevação de privilégio do Win32k.sys.”
A vulnerabilidade ajuda a explorar o processo Winlogon, injetando código nele. O código injetado cria um novo processo que herda os privilégios Winlogon SYSTEM, fornecendo permissões equivalentes como a versão anterior, os pesquisadores explicaram. Depois que tudo estiver feito, a carga instala um malware de mineração de criptografia para extrair uma criptomoeda conhecida como TurtleCoin.
Semelhante a muitos outros ataques, a operação do Nansh0u depende de uma combinação de nomes de usuário e senhas fracos para servidores MS-SQL e PHPMyAdmin. Para evitar exploits maliciosos, os administradores devem sempre usar forte, senhas complexas para suas contas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: