據Bleeping Computer美國時間5月29日報道，近日，Guardicore網絡安全實驗室的研究人員發(fā)布了一份詳細的報告，內容涉及全球范圍內攻擊Windows MS-SQL和PHPMyAdmin服務器的廣泛攻擊活動。

調查發(fā)現，屬于醫(yī)療、保健、電信、媒體和IT領域公司的超過50000臺服務器被復雜攻擊工具破壞，期間每天有超過700名新受害者出現。

最讓人疑惑的是，它們覺得，這事是中國黑客干的。

Nansh0u攻擊活動

據報道，此次行動僅為Nansh0u攻擊活動的一部分——所謂的Nansh0u是對原始加密貨幣挖掘攻擊的復雜化操作。

截至目前，其背后的黑客組織已經感染了全球近50000臺服務器。研究人員稱，Nansh0u攻擊活動與常規(guī)情況下的加密劫持行為不同，它使用了常見于高級持續(xù)威脅（APT）中的技術，如假證書和特權升級漏洞。

攻擊細節(jié)分析

Guardicore針對此次發(fā)現的攻擊行為進行深入研究，并在報告中詳細闡述了其攻擊原理：

為了破壞Windows MS-SQL和PHPMyAdmin服務器，黑客使用了一系列工具，包括端口掃描程序，MS-SQL暴力破解工具和遠程執(zhí)行模塊。

端口掃描程序允許他們通過檢查默認的MS-SQL端口是否打開來找到MS-SQL服務器，這些服務器將自動送入爆破工具。

一旦服務器被攻破，Nansh0u活動執(zhí)行者將使用MS-SQL腳本感染20個不同的惡意負載版本，該腳本將在受感染的計算機上下載并啟動有效負載。

攻擊流程

隨后，惡意程序會使用CVE-2014-4113跟蹤的權限提升漏洞利用受感染服務器上的SYSTEM權限運行有效負載，每個已刪除和執(zhí)行的有效負載均被設計為執(zhí)行多個操作的包裝器。

正如Guardicore的研究人員在分析通過Guardicore全球傳感器網絡（GGSN）和攻擊服務器收集的樣本后發(fā)現的，包裝器將：

－ 執(zhí)行加密貨幣挖礦

－ 通過編寫注冊表運行鍵來創(chuàng)建持久性

－ 使用內核模式rootkit保護miner進程免于終止

－ 使用看門狗機制確保挖礦的連續(xù)執(zhí)行

在受感染的服務器上丟棄大量有效負載的同時也丟棄了一個隨機命名的VMProtect-obfuscated內核模式驅動程序，這將引發(fā)大多數AV引擎的檢測程序啟動。

為了不被惡意軟件查殺引擎“和諧”掉，它還包含了rootkit功能，可用于與物理硬件設備保持通信以及修改此特定惡意軟件未使用的內部Windows進程對象，以此偽裝惡意程序。

內核模式驅動程序數字簽名

此外，內核模式驅動程序確保丟棄的惡意軟件不會被終止，該程序幾乎支持從Windows 7到Windows 10的每個版本的Windows體統(tǒng)，其中甚至也包括測試版。

報道稱，GuardicoreLabs團隊為此加密劫持活動提供了一個全面的IoC列表，其中包含了攻擊期間使用的IP地址以及挖掘池域的詳細信息。

通過上述攻擊過程，黑客可獲取易受攻擊服務器的IP地址，端口，用戶名和密碼，黑客可以篡改服務器設置，并在受害系統(tǒng)上創(chuàng)建Visual-Basic腳本文件，以從攻擊者的服務器下載惡意文件。

值得一提的是，該攻擊程序偽造并簽署了由Verisign頒發(fā)給一家名為“杭州Hootian網絡技術有限公司”的證書。Guardicore稱，實際上該證書很早之前就已經處于撤銷狀態(tài)了。

“此次攻擊活動再次證明，普通密碼仍然是當今攻擊流程中最薄弱的環(huán)節(jié)。看到成千上萬的服務器因簡單的暴力攻擊而受到損害，我們強烈建議公司使用強大的憑據以及網絡分段來保護其資產解決方案，“Guardicore實驗室團隊總結道。

它們說：或中國黑客所為

Guardicore稱，Nansh0u攻擊活動的追蹤過程中，他們對其攻擊對象及手法進行了深入研究，并從中推斷出該活動的幕后執(zhí)行者很可能是中國黑客。

Guardicore實驗室的研究人員稱，他們于2月26日檢測到該攻擊，進一步調查顯示，4月份的三次類似攻擊的所有源頭IP地址都來自南非，它們共享相同的攻擊過程并使用相同的攻擊方法。受害者大多位于中國、美國和印度。

而根據多條線索，GuardicoreLabs團隊最終認為該活動是中國黑客所為，其原因如下：

－ 攻擊者選擇使用基于中文的編程語言EPL編寫工具。

－ 為此廣告系列部署的某些文件服務器是中文的HFS。

－ 服務器上的許多日志文件和二進制文件都包含中文字符串，例如包含已破壞機器的日志中的結果-去重復（“duplicatesremoved”），或者以啟動端口掃描的腳本名稱中的開始（“start”）。