Взлом и проверка на уязвимости

Хакеры заразили 50 000 серверов MS-SQL и phpMyAdmin вредоносной программой Rootkit

Недавно исследователи кибербезопасности Guardicore Labs опубликовали подробный отчет о широко распространенной кампании криптоджекинга, атакующей серверы Windows MS-SQL и PHPMyAdmin по всему миру.

Названная Nansh0u, вредоносная кампания, как сообщается, осуществляется китайской хакерской группой APT-стиля, которая уже заразила почти 50000 серверов и устанавливает сложный руткит в режиме ядра на скомпрометированных системах, чтобы распространить вредоносного ПО.

Кампания, которая датируется 26 февраля, но была впервые обнаружена в начале апреля, нашла 20 различных версий полезной нагрузки, размещенных на различных хостинг-провайдеров.

Атака опирается на метод грубой силы после нахождения общедоступных серверов Windows MS-SQL и PHPMyAdmin с помощью простого сканера портов.

После успешной проверки подлинности входа с правами администратора злоумышленники выполняют последовательность команд MS-SQL в зараженной системе, чтобы загрузить вредоносную полезную нагрузку с удаленного файлового сервера и запустить ее с системными правами.

В фоновом режиме полезная нагрузка использует известную уязвимость эскалации привилегий (CVE-2014-4113) для получения системных привилегий в скомпрометированных системах.

Используя эту привилегию Windows, атакующий эксплойт вводит код в процесс Winlogon.
Введенный код создает новый процесс, который наследует системные привилегии Winlogon, предоставляя эквивалентные разрешения в предыдущей версии.

Затем полезная нагрузка устанавливает вредоносное ПО cryptocurrency mining на скомпрометированные серверы для добычи криптовалюты TurtleCoin.

Кроме того, вредоносная программа также защищает свой процесс от завершения с помощью руткита режима ядра с цифровой подписью.

Мы обнаружили, что водитель имел цифровую подпись, выданную высшим органом сертификации Verisign. Сертификат, срок действия которого истек, носит название поддельной китайской компании – Hangzhou Hootian Network Technology.
Исследователи также выпустили полный список МОК (индикаторов компрометации) и бесплатный сценарий на основе PowerShell, который администраторы Windows могут использовать для проверки заражения своих систем.

Поскольку атака основана на слабых комбинациях имени пользователя и пароля для серверов MS-SQL и PHPMyAdmin, администраторам рекомендуется всегда сохранять надежный и сложный пароль для своих учетных записей.

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close