据Bleeping Computer美国时间5月29日报道,近日,Guardicore *** 安全实验室的研究人员发布了一份详细的报告,内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。
调查发现,属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏,期间每天有超过700名新受害者出现。
最让人疑惑的是,它们觉得,这事是中国黑客干的。
Nansh0u攻击活动
据报道,此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。
截至目前,其背后的黑客组织已经感染了全球近50000台服务器。研究人员称,Nansh0u攻击活动与常规情况下的加密劫持行为不同,它使用了常见于高级持续威胁(APT)中的技术,如假证书和特权升级漏洞。
攻击细节分析
Guardicore针对此次发现的攻击行为进行深入研究,并在报告中详细阐述了其攻击原理:
为了破坏Windows MS-SQL和PHPMyAdmin服务器,黑客使用了一系列工具,包括端口扫描程序,MS-SQL暴力破解工具和远程执行模块。
端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器,这些服务器将自动送入爆破工具。
一旦服务器被攻破,Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本,该脚本将在受感染的计算机上下载并启动有效负载。
攻击流程
随后,恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载,每个已删除和执行的有效负载均被设计为执行多个操作的包装器。
正如Guardicore的研究人员在分析通过Guardicore全球传感器 *** (GGSN)和攻击服务器收集的样本后发现的,包装器将:
- 执行加密货币挖矿
- 通过编写注册表运行键来创建持久性
- 使用内核模式rootkit保护miner进程免于终止
- 使用看门狗机制确保挖矿的连续执行
在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序,这将引发大多数AV引擎的检测程序启动。
为了不被恶意软件查杀引擎“和谐”掉,它还包含了rootkit功能,可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象,以此伪装恶意程序。
说到花儿乐队确信很多 朋友第一个想到的就是大张伟,花儿乐队于一九九八年创建,也是在我国第一支未满十八岁摇滚乐队,在二零零九年花儿乐队公布解散。而就在不久前花儿乐队公布了全新升级升級全新最新单曲《最近的...
假如各人对蹦蹦鱼暖锅加盟感乐趣的话,那就不妨来相识下,相识之后相信越发想要加盟个中。蹦蹦鱼暖锅加盟顶住了市场中的竞争压力,一步一步的前行和成长,此刻在市场中具有必然的知名度和影响力,为列位加盟商提供了...
我此刻手上用的是iPad pro9.7英寸的版本,当初购置的时候是因为有玫瑰金的颜色,感受也很大度再加上四个喇叭,不管是放音乐可能是看视频都有很好的体验。苹果iPad和苹果手机一样都是回收的是ios系...
编辑导读:集会会议纪要应该是每个职场人都曾经经验过的,可是我们真的能把它写好吗?本文作者从产物思维的角度出发,从用户思维、布局化思维和闭环思维三个方面,分享了写集会会议纪要的要害步和谐需要留意的问题,...
一般在1.8米阁下,差异的牌子和车型车身宽度都是纷歧样的。SUV的全称是Sport Utility Vehicle,中文意思是举动型多用途汽车。这是一种拥有观光车般的空间性能,配以。 不必然,...
子规啼尽杜鹃红(打一中草药名)。血竭花 龙(打一成语)。充耳不闻一(打一成语)。接二连三乖(打一成语)。乘人不备亚(打一成语)。有口难言主(打一成语)。一往无前呀(打一成语)。唇齿相。 2008-02...