Guardicore Labs 的安全研究人員發(fā)布了一份報(bào)告，該報(bào)告關(guān)于在全球范圍內(nèi)攻擊 Windows MS-SQL 和 PHPMyAdmin 服務(wù)器的黑客活動(dòng)，代號(hào)“Nansh0u”，且這一攻擊源頭是中國(guó)黑客。報(bào)告稱，包括屬于醫(yī)療保健、電信、媒體和 IT 公司等在內(nèi)的 50,000 多臺(tái)服務(wù)器受到了攻擊，一旦受到攻擊，目標(biāo)服務(wù)器就會(huì)被惡意負(fù)載感染。黑客還安裝了一個(gè)復(fù)雜的內(nèi)核模式 rootkit 來(lái)防止惡意軟件被終止。

這并非典型的加密攻擊，它使用 APT （Advanced Persistent Threat，高級(jí)持續(xù)性威脅，本質(zhì)是針對(duì)性攻擊）中經(jīng)常出現(xiàn)的技術(shù)，例如假證書(shū)和特權(quán)升級(jí)漏洞。

該攻擊活動(dòng)于 4 月初被首次發(fā)現(xiàn)，但可以追溯至 2 月 26 日，每天有超過(guò) 700 個(gè)新的受害者。研究人員發(fā)現(xiàn)已存在 20 多種不同的有效惡意負(fù)載，這期間每周至少會(huì)有一個(gè)新的惡意負(fù)載被創(chuàng)建，受感染的計(jì)算機(jī)數(shù)量在一個(gè)月內(nèi)就已翻倍。

在使用管理權(quán)限成功登錄身份驗(yàn)證后，攻擊者在受感染系統(tǒng)上執(zhí)行一系列 MS-SQL 命令，以從遠(yuǎn)程文件服務(wù)器下載惡意負(fù)載，并以 SYSTEM 權(quán)限運(yùn)行它。

在后臺(tái)，有效負(fù)載利用已知的權(quán)限提升漏洞（CVE-2014-4113）來(lái)獲取受感染系統(tǒng)的 SYSTEM 權(quán)限。

然后，有效負(fù)載在受感染的服務(wù)器上安裝加密貨幣挖掘惡意軟件以挖掘 TurtleCoin 加密貨幣。

研究人員還發(fā)布了一份完整的 IoC（危害指標(biāo)）列表和一個(gè)免費(fèi)的基于 PowerShell 的腳本，Windows 管理員可以使用它來(lái)檢查他們的系統(tǒng)是否被感染。

由于攻擊依賴于 MS-SQL 和 PHPMyAdmin 服務(wù)器的弱用戶名和密碼組合，因此，強(qiáng)烈建議管理員為賬戶設(shè)置一個(gè)復(fù)雜密碼。

調(diào)查報(bào)告完整版：https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/