Casa > cibernético Notícias > Infecções de campanha Nansh0u 50,000 Servidores com Kernel-Mode Rootkit
CYBER NEWS

Nansh0u infecta campanha 50,000 Servidores com Kernel-Mode Rootkit

Um novo relatório realizado por Guardicore Labs delineou os detalhes de um cryptojacking prevalecente (cryptomining) operação contra servidores do Windows MS-SQL e phpMyAdmin em escala global.




relacionado: New Scranos Rookit podem danificar o sistema de formas múltiplas

Campanha Malware Nansh0u: Alguns detalhes

A campanha maliciosa é apelidado Nansh0u e é controlada por um grupo de hackers chineses. O grupo infectado pelo menos 50,000 servidores com um sofisticado rootkit em modo kernel que impede que o malware seja rescindido.

De acordo com o relatório, os servidores infectados pertencem a empresas na saúde, telecomunicações, setores da mídia e TI.

Os investigadores observaram a libertação e de implantação 20 diferentes versões de carga útil durante a campanha. Eles também entrou em contato com o provedor de hospedagem dos servidores de ataque, bem como o emissor do certificado de rootkit. Como um resultado, os servidores de ataque foram levados para baixo e o certificado foi revogado, segundo o relatório.

Note-se que a campanha Nansh0u não é um ataque cryptojacking típico. Ele usa técnicas observadas nas ameaças persistentes avançadas, como certificados falsos e exploits de privilégios. A campanha simplesmente mostra que ferramentas maliciosas sofisticadas também podem ser utilizadas por invasores não tão sofisticados e habilidosos.

Como o ataque Nansh0u é iniciado?

Os invasores primeiro localizam servidores Windows MS-SQL e PHPMyAdmin acessíveis ao público por meio de um scanner de porta. Então, eles usam força bruta e obtêm privilégios de administrador para executar uma sequência de comandos MS-SQL no sistema comprometido. Uma vez feito isso, a carga maliciosa é baixada de um servidor de arquivos remoto e executada com privilégios de SISTEMA.

Uma vulnerabilidade específica também está incluída no cenário de ataque – CVE-2014-4113. O último é um bug conhecido de escalonamento de privilégios, implantado para obter privilégios SYSTEM em hosts comprometidos.

aqui está a descrição oficial da vulnerabilidade:

win32k.sys nos drivers do modo kernel no Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, janelas 7 SP1, janelas 8, janelas 8.1, Windows Server 2012 Ouro e R2, e Windows RT Gold e 8.1 permite que usuários locais obtenham privilégios por meio de um aplicativo criado, como explorado na natureza em outubro 2014, aka “Vulnerabilidade de elevação de privilégio do Win32k.sys.”

A vulnerabilidade ajuda a explorar o processo Winlogon, injetando código nele. O código injetado cria um novo processo que herda os privilégios Winlogon SYSTEM, fornecendo permissões equivalentes como a versão anterior, os pesquisadores explicaram. Depois que tudo estiver feito, a carga instala um malware de mineração de criptografia para extrair uma criptomoeda conhecida como TurtleCoin.

Semelhante a muitos outros ataques, a operação do Nansh0u depende de uma combinação de nomes de usuário e senhas fracos para servidores MS-SQL e PHPMyAdmin. Para evitar exploits maliciosos, os administradores devem sempre usar forte, senhas complexas para suas contas.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo