据Bleeping Computer美国时间5月29日报道,近日,Guardicore *** 安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏,期间每天有超过700名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近50000台服务器。研究人员称,Nansh0u攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁(APT)中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。
端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破,Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如Guardicore的研究人员在分析通过Guardicore全球传感器 *** (GGSN)和攻击服务器收集的样本后发现的,包装器将:
- 执行加密货币挖矿
- 通过编写注册表运行键来创建持久性
- 使用内核模式rootkit保护miner进程免于终止
- 使用看门狗机制确保挖矿的连续执行
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象,以此伪装恶意程序。
当前在手机支付宝,上证指数讨论区,每个都可以免费领取2米基金红包,满10米即可用,可买债券基金,也基本没什么颠簸。基金份额确认后即可赎回,7天内有0.15米手续费,7天后0手续费! 流动时间:短...
大家好,今天是七夕节,先祝福大家七夕快乐,今天支付宝蚂蚁庄园小课堂8月25日每日一题跟七夕的鹊桥有关,鹊桥是七夕传说中的东西。今天的问题是“牛郎织女“鹊桥相会,如果真有鹊桥,大约要多少只喜鹊才能搭成?...
本文目录一览: 1、好看的黑客电影排行 2、关于黑客有什么电影推荐? 3、电影《数字猎凶者》已上映,这部电影是讲述什么故事的? 好看的黑客电影排行 我是谁,没有绝对安全的系统》说是近几年来最...
宋承宪成宥利分手原因 2人感情现状如何 宋承宪和成宥利2人都是韩国知名的艺人,宋承宪大家都知道,是刘亦菲唯一公开过的男友,而成宥利是谁呢?成宥利是《千年之爱》的末代公主,也是《吞噬太阳》中的李秀贤,成...
娱乐中国讯 昨日,“BOSS的厨房”在小年夜温情上线,搜狐公司董事局主席兼CEO张朝阳携“特邀主厨”演员、模特张亮以及搜狐艺人余玥、狐友国民校花雷敏君进行线上带货直播,“全能BOSS”张朝阳在直播间大...
高丽参和红参的区别(高丽参和红参哪个好)我们都知道,高丽参和红参都具有很好的功效与作用,具有很好的保健功,下面让我们具体来看看高丽参和红参哪个好,两者有什么区别吧!...