据Bleeping Computer美国时间5月29日报道,近日,Guardicore *** 安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏,期间每天有超过700名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近50000台服务器。研究人员称,Nansh0u攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁(APT)中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。
端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破,Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如Guardicore的研究人员在分析通过Guardicore全球传感器 *** (GGSN)和攻击服务器收集的样本后发现的,包装器将:
- 执行加密货币挖矿
- 通过编写注册表运行键来创建持久性
- 使用内核模式rootkit保护miner进程免于终止
- 使用看门狗机制确保挖矿的连续执行
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象,以此伪装恶意程序。
新冠疫苗的进展是全球的人都比较关注的,其中有几个国家的新冠疫苗进展是比较快的,据最新消息报道中国已有11款新冠疫苗进入临床试验,这次的新冠肺炎给各国的人们都带来了安全威胁,因此新冠疫苗的研发是很重要的...
開國將領錢壯飛子女現现在的狀況千奇百怪的天下,是造物主的恩賜,還是我們自己也是這奇觀之一? 探索之謎網小編今天帶你瞭解“開國將領錢壯飛子女現现在的狀況”: 葉劍英晚節不保缘故原由深深的...
2月1日,中国政府首批对外援助的新冠疫苗在巴基斯坦首都伊斯兰堡附近的“努尔汗空军基地”正式移交巴基斯坦。 巴全国范围内中国疫苗接种工作正式启动 3日,巴基斯坦全国范围内的疫苗接种开始...
所需东西垂钓网站方面,广东省再次以成为移动端垂钓网站阻拦量最多的区域,占全国阻拦量的21.6%。 其他区域如广西、福建、山东、湖南、浙江、河南、河北、江苏、四川顺次进入前十。 1.6.2 已然不能不运...
如果是个厉害的黑客,不用你找工作,自然有人会来找你.如果你自己认为自己属于黑客(现在这种人最多,可以说是多如牛毛)这样的话,也不要去找专门做。 黑客可以有好多种工作1:渗透测试2:安全防护产品的测试3...
正在热播的电视剧《江山如此多娇》将在今晚迎来大结局。沙鸥和濮泉生作为扶贫干部,完成了带领碗米溪脱贫致富的工作,即将离开,那么下一任的村长和村支书又会是谁?会有谁来带领碗米溪村走向越来越好的生活呢?最后...