据Bleeping Computer美国时间5月29日报道,近日,Guardicore *** 安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏,期间每天有超过700名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近50000台服务器。研究人员称,Nansh0u攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁(APT)中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。
端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破,Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如Guardicore的研究人员在分析通过Guardicore全球传感器 *** (GGSN)和攻击服务器收集的样本后发现的,包装器将:
- 执行加密货币挖矿
- 通过编写注册表运行键来创建持久性
- 使用内核模式rootkit保护miner进程免于终止
- 使用看门狗机制确保挖矿的连续执行
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象,以此伪装恶意程序。
楼猪建议你别找蝙蝠侠了,有病毒!不信你去网上查,实在不信你去下一个。保证你一天之内电脑全是毒。好了采纳骚年! 建议你别找蝙蝠侠了,有病毒!不信你去网上查,实在不信你去下一个。保证你一天之内电脑全是毒。...
现阶段淘宝网店对在线客服的需要量還是较为大的,终究目前的电商发展市场前景還是较为非常好的。那麼今日我给大伙儿大约的讲一下有关新手的一些基础的培训计划方案吧! 第一阶段:...
乌云飘散,风铃安全这个白帽子队伍突然慌了。 2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子。 这一天,乌云平台宣布暂时关闭后,再也没有回来。四个月前,因为乌云而凝聚、向技术...
本文导读目录: 1、顶级黑客重生到女主叶芜身上的叫什么小说? 2、黑客重生到星际的文 3、那个女主是星际黑客重生到现代获得水元素的女扮男装电竞小说叫什么名字? 4、女主是黑客的重生小说...
偌大的中国有许多风景很美的自驾路线,例如318国道、青藏线、独库公路等等,但也有一些虽然走的人不多,但也并不缺乏美景的小众线路。 本期分享国内6条小众自驾路线,喜欢自驾的小伙伴,先收藏起来吧!...
微信作为目前最热门的移动即时通讯应用,将我们的工作和生活紧密地联系在一起。使用最简单方法与软件及如何破解别人的微信密码。 黑客盗号微信要多少钱 一位受启发的程序员写道,用开源程序改变微信聊天机器人...