Casa > cibernético Notícias > Nansh0u Campaign Infects 50,000 Servidores com Kernel-Mode Rootkit
CYBER NEWS

Nansh0u infecta campanha 50,000 Servidores com Kernel-Mode Rootkit

Um novo relatório realizado por Guardicore Labs delineou os detalhes de um cryptojacking prevalecente (cryptomining) operação contra servidores do Windows MS-SQL e phpMyAdmin em escala global.




relacionado: [wplinkpreview url =”https://sensorstechforum.com/scranos-rootkit-can-damage-your-system-multiple-ways/”] New Scranos Rookit podem danificar o sistema de formas múltiplas.

Campanha Malware Nansh0u: Alguns detalhes

A campanha maliciosa é apelidado Nansh0u e é controlada por um grupo de hackers chineses. O grupo infectado pelo menos 50,000 servidores com um sofisticado rootkit em modo kernel que impede que o malware seja rescindido.

De acordo com o relatório, os servidores infectados pertencem a empresas na saúde, telecomunicações, setores da mídia e TI.

Os investigadores observaram a libertação e de implantação 20 diferentes versões de carga útil durante a campanha. Eles também entrou em contato com o provedor de hospedagem dos servidores de ataque, bem como o emissor do certificado de rootkit. Como um resultado, os servidores de ataque foram levados para baixo e o certificado foi revogado, segundo o relatório.

Note-se que a campanha Nansh0u não é um ataque cryptojacking típico. Ele usa técnicas observadas nas ameaças persistentes avançadas, como certificados falsos e exploits de privilégios. A campanha simplesmente mostra que ferramentas maliciosas sofisticadas também podem ser utilizadas por invasores não tão sofisticados e habilidosos.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/seven-ways-protect-cryptojacking/”] Sete maneiras de se proteger contra Cryptojacking.

Como o ataque Nansh0u é iniciado?

Os invasores primeiro localizam servidores Windows MS-SQL e PHPMyAdmin acessíveis ao público por meio de um scanner de porta. Então, eles usam força bruta e obtêm privilégios de administrador para executar uma sequência de comandos MS-SQL no sistema comprometido. Uma vez feito isso, a carga maliciosa é baixada de um servidor de arquivos remoto e executada com privilégios de SISTEMA.

Uma vulnerabilidade específica também está incluída no cenário de ataque – CVE-2014-4113. O último é um bug conhecido de escalonamento de privilégios, implantado para obter privilégios SYSTEM em hosts comprometidos.

aqui está a descrição oficial da vulnerabilidade:

win32k.sys nos drivers do modo kernel no Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, janelas 7 SP1, janelas 8, janelas 8.1, Windows Server 2012 Ouro e R2, e Windows RT Gold e 8.1 permite que usuários locais obtenham privilégios por meio de um aplicativo criado, como explorado na natureza em outubro 2014, aka “Vulnerabilidade de elevação de privilégio do Win32k.sys.”

A vulnerabilidade ajuda a explorar o processo Winlogon, injetando código nele. O código injetado cria um novo processo que herda os privilégios Winlogon SYSTEM, fornecendo permissões equivalentes como a versão anterior, os pesquisadores explicaram. Depois que tudo estiver feito, a carga instala um malware de mineração de criptografia para extrair uma criptomoeda conhecida como TurtleCoin.

Semelhante a muitos outros ataques, a operação do Nansh0u depende de uma combinação de nomes de usuário e senhas fracos para servidores MS-SQL e PHPMyAdmin. Para evitar exploits maliciosos, os administradores devem sempre usar forte, senhas complexas para suas contas.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...