加入收藏 | 设为首页 |

雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的

海外新闻 时间: 浏览:297 次

据 Bleeping Computer 美国时刻 5 月 29 日报导,近来,Guardicore 网络安全实验室的研雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的究人员发布了一份具体的陈述,内容触及全球范围内进犯 Windows MS-SQL 和 PHPMyAdmin 服务器的广泛进犯活动。

查询发现,归于医疗、保健、电信、媒体和 IT 范畴公司的超越 50000 台服务器被杂乱进犯东西损坏,期间每天有超越 700 名新受害者呈现。

最让人疑问的是,它们觉得,这事是我国黑客干的。

Nansh0u进犯活动

据报导,此次举动仅为 Nansh0u 进犯活动的一部分——所谓的 Nansh0u 是对原始加密钱银发掘进犯的杂乱化操作。

到现在,其背面的黑客安排现已感染了全球近 50000 台服务器。研究人员称 , Nansh0u 进犯活动与惯例情况下的加密绑架行为不同,它运用了常见于高档继续要挟( APT )中的技能,如假证书和特权晋级缝隙。

进犯细节剖析

Guardicore 针对此次发现的进犯行为进行深入研究,并在陈述中具体论述了其进犯原理:

为雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的了损坏 Windows MS-SQL 和 PHPMyAdmin 服务器,黑客运用了一系列东西,包括端口扫描程序, MS-SQL 暴力破解东西和长途履行模块。端口扫描程序答应他们经过查看默许的 MS-SQL 端口是否翻开来找到 MS-SQL 服务器,这些服务器将主动送入爆炸四川省人民医院东西。

一旦服务器被攻破, Nansh0u 活动履行者将运用 MS-SQL 脚本感染 20 个不同的歹意负载版别,该脚本将在受感染的核算机上下载并发动有用负载。

进犯流程

随后,歹意程序会运用 CVE-2014-4113 盯梢的权限提高缝隙运用受感染服务器上的 SYSTEM 权限运转有用负载,每个已删去和履行的有用雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的负载均被规划为履行多个操作的包装器。

正如 Guardicore 的研究人员在剖析经过 Guardicore 全球传感器网络( GGSN )和进犯服务器搜集的雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的样本后发现的,包装器将:

•履行加密钱银挖矿;

•经过编写注册表运转键来创立持久性;

•运用内核形式 rootkit 维护 miner 进程免于停止;

•运用看门狗机制保证挖矿的接连履行。

在受感染的服务器上丢掉很多有用负载的一起也丢掉了一个随机命名的 VMProtect-obfuscated 内核形式驱动程序,这将引发大多数AV引擎的检测程序发动。

为了不被歹意软件查杀引擎“调和”掉,它还包括了rootkit 功用,可用于与物理硬件设备坚持通讯以及修正此特定歹意软件未运用的内部 Windows 进程目标,以此假装歹意程序。

内核形式驱动程序数字签名

此外,内核形式驱动程序保证丢掉的歹意软件不会被停止,该程序简直支撑从 Windows 7 到 Windows 10 的每个版别的 Windows体统 ,其间乃至也包括测试版。

报导称, Guardicore Labs 团队为此加密绑架活动供给了一个全面的 IoC 列表,其间包括了进犯期间运用的 IP 地址以及发掘池域的具体信息。

经过上述进犯进程,黑客可获取易受进犯服务器的 IP 地址,端口,用户名和暗码,黑客能够篡改服务器设置,并在受害体系上创立 Visual-Basic 脚本文件,以从进犯者的服务器下载歹意文件。

值得一提的是,该进犯程序假造并签署了由Verisign颁发给一家名为“杭州Hootian网络技能有限公司”的证书。Guardicore称,实际上该证书很早之前就现已处于吊销状况了。

“此次进犯活动再次证明,一般暗码仍然是当今进犯流程中最单薄的环节。看到不计其数的服务器因简略的暴力进犯而遭到危害,咱们强烈建议公司运用强壮的凭证以及网络分段来维护其财物解决方案,“ Guardicore 实验室团队总结道。

它们说:或我国黑客所为

Guardicore 称, Nansh0u 进犯活动的追寻进程中,他们对其进犯目标及办法进行了深入研究,并从中推断出该活动的暗地履行者很可能是我国黑客。

Guardicore 实验室的研究人员称,他们于 2 月 26 日检测到该进犯,进一步查询显现, 4 月份的三次相似进犯的一切源头 IP 地址都来自南非,它们同享相同的进犯进程并运用相同的进犯办法。受害者大多坐落我国、美国和印度。

而依据多条头绪, Guardicore L雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的abs 团队终究以为该活动是我国黑客所为,其原因如下:

•雷火电竞-全球超50000台服务器遭进犯,它说是我国黑客干的进犯者挑选运用根据中文的编程言语 EPL 编写东西。

•为此广告系列布置的某些文件服务器是中文的 HFS 。

•服务器上的许多日志文件和二进制文件都包括中文字符串,例如包括已损坏机器的日志中的成果 - 去重复(“ duplicates removed ”),或许以发动端口扫描的脚本称号中的开端(“ start ”)。

参阅来历:Bleeping Computer

雷锋网雷锋网雷锋网

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。