全球超50000台办事器遭冲击，它说是中国黑客干的

2019-05-31 10:49:48

据 Bleeping Computer 美国时间 5 月 29 日报道，近日，Guardicore 收集平安实验室的研究人员发布了一份具体的申报，内容涉及全球局限内冲击 Windows MS-SQL 和 PHPMyAdmin 办事器的普遍冲击运动。 [转载出处：www.ii77.com]

查询发现，属于医疗、保健、电信、媒体和 IT 范畴公司的跨越 50000 台办事器被复杂冲击对象损坏，时代天天有跨越 700 名新受害者显现。

[转载出处：www.ii77.com]

最让人迷惑的是，它们感觉，这事是中国黑客干的。

Nansh0u冲击运动

据报道，此次动作仅为 Nansh0u 冲击运动的一部门——所谓的 Nansh0u 是对原始加密泉币挖掘冲击的复杂化把持。

截止今朝，其背后的黑客组织已经传染了全球近 50000 台办事器。研究人员称， Nansh0u 冲击运动与常规情形下的加密劫持行为分歧，它使用了常见于高级持续威胁（ APT ）中的手艺，如假证书和特权升级破绽。

冲击细节剖析

Guardicore 针对此次发现的冲击行为进行深入研究，并在申报中具体阐述了其冲击道理：

为了损坏 Windows MS-SQL 和 PHPMyAdmin 办事器，黑客使用了一系列对象，包罗端口扫描法式， MS-SQL 暴力破解对象和长途执行模块。端口扫描法式许可他们经由搜检默认的 MS-SQL 端口是否打开来找到 MS-SQL 办事器，这些办事器将主动送入爆破对象。

一旦办事器被攻破， Nansh0u 运动执行者将使用 MS-SQL 剧本传染 20 个分歧的恶意负载版本，该剧本将在受传染的较量机上下载并启动有效负载。

冲击流程

随后，恶意法式会使用 CVE-2014-4113 跟踪的权限提拔破绽行使受传染办事器上的 SYSTEM 权限运行有效负载，每个已删除和执行的有效负载均被设计为执行多个把持的包装器。

正如 Guardicore 的研究人员在剖析经由 Guardicore 全球传感器收集（ GGSN ）和冲击办事器收集的样本后发现的，包装器将：

•执行加密泉币挖矿;
•经由编写..表运行键来建立持久性;
•使用内核模式 rootkit 珍爱 miner 历程免于完结;
•使用看门狗机制确保挖矿的一连执行。

在受传染的办事器上丢弃大量有效负载的同时也丢弃了一个随机定名的 VMProtect-obfuscated 内核模式驱动法式，这将激发大多数AV引擎的检测法式启动。

为了不被恶意软件查杀引擎“协调”掉，它还包含了rootkit 功能，可用于与物理硬件设备连结通信以及点窜此特定恶意软件未使用的内部 Windows 历程对象，以此伪装恶意法式。

内核模式驱动法式数字签名

此外，内核模式驱动法式确保丢弃的恶意软件不会被完结，该法式几乎支撑从 Windows 7 到 Windows 10 的每个版本的 Windows体统，个中甚至也包罗测试版。

报道称， Guardicore Labs 团队为此加密劫持运动供应了一个周全的 IoC 列表，个中包含了冲击时代使用的 IP 地址以及挖掘池域的具体信息。

经由上述冲击过程，黑客可获取易受冲击办事器的 IP 地址，端口，用户名和暗码，黑客能够窜改办事器设置，并在受害系统上建立 Visual-Basic 剧本文件，以从冲击者的办事器下载恶意文件。

值得一提的是，该冲击法式伪造并签署了由Verisign颁布给一家名为“杭州Hootian收集手艺有限公司”的证书。Guardicore称，实际上该证书很早之前就已经处于撤销状况了。

“此次冲击运动再次证实，通俗暗码仍然是目前冲击流程中最微弱的环节。看到成千上万的办事器因简洁的暴力冲击而受到损害，我们强烈建议公司使用壮大的凭证以及收集分段来珍爱其资产解决方案，“ Guardicore 实验室团队总结道。

它们说：或中国黑客所为

Guardicore 称， Nansh0u 冲击运动的追踪过程中，他们对其冲击对象及手法进行了深入研究，并从中揣摩出该运动的幕后执行者很或者是中国黑客。

Guardicore 实验室的研究人员称，他们于 2 月 26 日检测到该冲击，进一步骤查显露， 4 月份的三次雷同冲击的所有泉源 IP 地址都来自南非，它们共享沟通的冲击过程并使用沟通的冲击方式。受害者大多位于中国、美国和印度。

而凭据多条线索， Guardicore Labs 团队最终认为该运动是中国黑客所为，其原因如下：

•冲击者选择使用基于中文的编程说话 EPL 编写对象。
•为此告白系列布置的某些文件办事器是中文的 HFS 。
•办事器上的很多日志文件和二进制文件都包含中文字符串，例如包含已损坏机械的日志中的究竟 - 去反复（“ duplicates removed ”），或许以启动端口扫描的剧本名称中的起头（“ start ”）。

参考起原：Bleeping Computer

-----雇用好基友的朋分线-----

雇用岗位：

收集平安编纂（采编岗）

工作内容：

首要负责报道国表里收集平安相关热点新闻、会议、论坛、公司动向等；

采访国表里收集平安研究人员，撰写原创报道，输出范畴的深度概念；

针对分歧发布渠道，谋划分歧类型选题；

介入打理宅客频道微信公家号等。

岗位要求：

对收集平安有乐趣，有相关常识贮备或从业履历更佳；

科技媒体1-2年从业经验；

有自力采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国表里收集平安范畴顶尖平安大牛聊人生的机会；

国内出差或者不新颖了，我们还能够硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各类前沿黑科技，把握一手行业新闻、巨细公司动向，甚至是黑客大大们的独家底蕴；

老司机编纂手把手带；

以及与你的能力相成家的薪水。

坐标北京，简历送达至：liqin@leiphone.com

戳蓝字查察更多出色内容

索求篇

▼

暗网【上】| 暗网【下】

薅羊毛 | 黑客兵器库| 威胁猎人

剁手.. | 0Day冲击 | 暗黑女主播

踩雷 |嗑药坐牢重归正路 | 内鬼

脑内植入

实情篇

▼

拼多多将追回“薅羊毛”订单，包罗已充话费和Q币订单

75条笑死人的知乎神复原，用60行代码就爬完了

不剁手也吃土？或者是挖矿木马掏空你的钱包

游戏黑产：我还在空中跳伞，就被人用拳头长途打死

都8012年了，英国卫生部门居然还在为“擦屁股”

与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？

扎心！Tumblr推AI鉴黄规划夺老司机“珍爱”

我报了个税，隐私就被扒光了？

黑客圈套：Ins网红落难记

人物篇

▼

专访：“蹲坑神器”与它背后汉子们不得不说的故事

磨刀人王伟：我前期砸了两个亿做这套方案

白帽汇的赵武摘掉了他的“帽子”｜专访

数字联盟刘晶晶：四年只做一个产物

长亭科技陈宇森：我打破的四个质疑

薛锋：我眼中的威胁谍报三年之变

“无锁不开”女黑客——skye

知道创宇赵伟：怼死“空气币”

李均：我眼中的黑客精神

风宁：自由追风者

更多出色正在整顿中……

---

“喜欢就赶紧存眷我们”

宅客『Letshome』

雷锋网旗下业界报道公家号。

专注前锋科技范畴，讲述黑客背后的故事。

长按下图..并识别存眷

上一篇：刘锋吕乃基：互联网中心化与去中心化之争
下一篇：同样是流量赠予，中国电信玩得有名堂

全球超50000台办事器遭冲击，它说是中国黑客干的

热门文章

小编推荐

推荐文章