在Nansh0u广告系列中感染了超过50000个MS SQL

全球范围内已经检测到针对MS-SQL和PHPMyAdmin服务器的新一波攻击，这是针对加密货币而发起的。Guardicore Labs周三表示，属于医疗保健，电信，媒体和IT组织的50,000多台服务器已被感染。来自Guardicore的研究人员Ophir Harpaz和Daniel Goldberg在博客文章中表示，所谓的Nansh0u活动是对原始加密货币挖掘攻击的复杂考虑。在过去两个月中，Guardicore记录了Windows MS-SQL和PHPMyAdmin服务器的危害，这些服务器起源于2019年2月26日。在某些情况下，每天有700多名受害者被记录在案。研究人员表示，“Nansh0u战役不是典型的加密攻击。”“它使用常见于高级持续威胁(APT)中的技术，如假证书和特权升级漏洞。”五个攻击服务器和六个连接服务器提供了Nansh0u所需的基础结构。当通过端口扫描程序识别出受害者服务器时，威胁参与者将首先尝试通过MS-SQL暴力攻击工具访问系统，这可以在弱帐户凭据发挥作用时实现。在许多情况下，这种技术被证明是成功的，使攻击者可以访问具有管理权限的帐户。这些凭据也已保存以备将来使用。

获取易受攻击服务器的IP地址，端口，用户名和密码后，黑客将篡改服务器设置，并在受害系统上创建Visual-Basic脚本文件，以从攻击者的服务器下载恶意文件。

研究人员记录了在Nansh0u期间使用的20个独立的恶意有效载荷，每周创建新的变种。

网络安全101：保护您的隐私免受黑客，间谍和政府的侵害

有效负载使用了CVE-2014-4113，这是2014年首次报告的一个漏洞，它影响了Microsoft Windows Server 2003 SP2，Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8，Windows 8.1中的win32k.sys ，Windows Server 2012 Gold和R2，以及Windows RT Gold和8.1。

如果被利用，该漏洞允许通过精心设计的应用程序进行权限提升。

一旦服务器成功入侵，有效负载就会丢弃加密货币挖掘器并安装复杂的内核模式rootkit以维持持久性并防止挖掘恶意软件被终止。

加密货币矿工代表四个不同的采矿池为TurtleCoin的恶意软件矿山投放，或者使用XMRig，一个开源的Monero挖掘脚本。

许多有效负载还丢弃了由Verisign签名的内核模式驱动程序，用于防止进程(例如矿工)被阻止。在活动激活期间，Verisign签收确保驾驶员被视为合法并且将通过安全检查。此外，驱动程序受VMProtect保护，以使软件的逆向工程变得困难。

证书中包含假冒中国公司的名称杭州Hootian网络技术有限公司。

如何提高云提供商的安全性：4个提示

鉴于攻击者的证书和使用EPL(一种用中文开发的编程语言)，Nansh0u被认为起源于中国。此外，活动期间使用的一些文件服务器基于中文，许多日志文件和二进制文件包含中文字符串。

研究人员补充说：“以相对深奥的语言编写基础设施主要部分的决定是不寻常的。”“看起来直到最近属于国家级黑客的工具，今天仍然是普通罪犯的财产。”

Guardicore与Verisign一起联系了用于促进攻击的服务器的托管服务提供商。现在服务器已被取消并且证书被撤销，但这并不意味着该活动将来不会返回一组新的服务器和一个有效的安全证书。