據(jù)Bleeping Computer美國時間5月29日報道，近日，Guardicore網(wǎng)絡(luò)安全實(shí)驗(yàn)室的研究人員發(fā)布了一份詳細(xì)的報告，內(nèi)容涉及全球范圍內(nèi)攻擊Windows MS-SQL和PHPMyAdmin服務(wù)器的廣泛攻擊活動。

調(diào)查發(fā)現(xiàn)，屬于醫(yī)療、保健、電信、媒體和IT領(lǐng)域公司的超過50000臺服務(wù)器被復(fù)雜攻擊工具破壞，期間每天有超過700名新受害者出現(xiàn)。

最讓人疑惑的是，它們覺得，這事是中國黑客干的。

Nansh0u攻擊活動

據(jù)報道，此次行動僅為Nansh0u攻擊活動的一部分——所謂的Nansh0u是對原始加密貨幣挖掘攻擊的復(fù)雜化操作。

截至目前，其背后的黑客組織已經(jīng)感染了全球近50000臺服務(wù)器。研究人員稱，Nansh0u攻擊活動與常規(guī)情況下的加密劫持行為不同，它使用了常見于高級持續(xù)威脅（APT）中的技術(shù)，如假證書和特權(quán)升級漏洞。

攻擊細(xì)節(jié)分析

Guardicore針對此次發(fā)現(xiàn)的攻擊行為進(jìn)行深入研究，并在報告中詳細(xì)闡述了其攻擊原理：

為了破壞Windows MS-SQL和PHPMyAdmin服務(wù)器，黑客使用了一系列工具，包括端口掃描程序，MS-SQL暴力破解工具和遠(yuǎn)程執(zhí)行模塊。

端口掃描程序允許他們通過檢查默認(rèn)的MS-SQL端口是否打開來找到MS-SQL服務(wù)器，這些服務(wù)器將自動送入爆破工具。

一旦服務(wù)器被攻破，Nansh0u活動執(zhí)行者將使用MS-SQL腳本感染20個不同的惡意負(fù)載版本，該腳本將在受感染的計(jì)算機(jī)上下載并啟動有效負(fù)載。

攻擊流程

隨后，惡意程序會使用CVE-2014-4113跟蹤的權(quán)限提升漏洞利用受感染服務(wù)器上的SYSTEM權(quán)限運(yùn)行有效負(fù)載，每個已刪除和執(zhí)行的有效負(fù)載均被設(shè)計(jì)為執(zhí)行多個操作的包裝器。

正如Guardicore的研究人員在分析通過Guardicore全球傳感器網(wǎng)絡(luò)（GGSN）和攻擊服務(wù)器收集的樣本后發(fā)現(xiàn)的，包裝器將：

－ 執(zhí)行加密貨幣挖礦

－ 通過編寫注冊表運(yùn)行鍵來創(chuàng)建持久性

－ 使用內(nèi)核模式rootkit保護(hù)miner進(jìn)程免于終止

－ 使用看門狗機(jī)制確保挖礦的連續(xù)執(zhí)行

在受感染的服務(wù)器上丟棄大量有效負(fù)載的同時也丟棄了一個隨機(jī)命名的VMProtect-obfuscated內(nèi)核模式驅(qū)動程序，這將引發(fā)大多數(shù)AV引擎的檢測程序啟動。

為了不被惡意軟件查殺引擎“和諧”掉，它還包含了rootkit功能，可用于與物理硬件設(shè)備保持通信以及修改此特定惡意軟件未使用的內(nèi)部Windows進(jìn)程對象，以此偽裝惡意程序。

內(nèi)核模式驅(qū)動程序數(shù)字簽名

此外，內(nèi)核模式驅(qū)動程序確保丟棄的惡意軟件不會被終止，該程序幾乎支持從Windows 7到Windows 10的每個版本的Windows體統(tǒng)，其中甚至也包括測試版。

報道稱，GuardicoreLabs團(tuán)隊(duì)為此加密劫持活動提供了一個全面的IoC列表，其中包含了攻擊期間使用的IP地址以及挖掘池域的詳細(xì)信息。

通過上述攻擊過程，黑客可獲取易受攻擊服務(wù)器的IP地址，端口，用戶名和密碼，黑客可以篡改服務(wù)器設(shè)置，并在受害系統(tǒng)上創(chuàng)建Visual-Basic腳本文件，以從攻擊者的服務(wù)器下載惡意文件。

值得一提的是，該攻擊程序偽造并簽署了由Verisign頒發(fā)給一家名為“杭州Hootian網(wǎng)絡(luò)技術(shù)有限公司”的證書。Guardicore稱，實(shí)際上該證書很早之前就已經(jīng)處于撤銷狀態(tài)了。

“此次攻擊活動再次證明，普通密碼仍然是當(dāng)今攻擊流程中最薄弱的環(huán)節(jié)?？吹匠汕先f的服務(wù)器因簡單的暴力攻擊而受到損害，我們強(qiáng)烈建議公司使用強(qiáng)大的憑據(jù)以及網(wǎng)絡(luò)分段來保護(hù)其資產(chǎn)解決方案，“Guardicore實(shí)驗(yàn)室團(tuán)隊(duì)總結(jié)道。

它們說：或中國黑客所為

Guardicore稱，Nansh0u攻擊活動的追蹤過程中，他們對其攻擊對象及手法進(jìn)行了深入研究，并從中推斷出該活動的幕后執(zhí)行者很可能是中國黑客。

Guardicore實(shí)驗(yàn)室的研究人員稱，他們于2月26日檢測到該攻擊，進(jìn)一步調(diào)查顯示，4月份的三次類似攻擊的所有源頭IP地址都來自南非，它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。

而根據(jù)多條線索，GuardicoreLabs團(tuán)隊(duì)最終認(rèn)為該活動是中國黑客所為，其原因如下：

－ 攻擊者選擇使用基于中文的編程語言EPL編寫工具。

－ 為此廣告系列部署的某些文件服務(wù)器是中文的HFS。

－ 服務(wù)器上的許多日志文件和二進(jìn)制文件都包含中文字符串，例如包含已破壞機(jī)器的日志中的結(jié)果-去重復(fù)（“duplicatesremoved”），或者以啟動端口掃描的腳本名稱中的開始（“start”）。