• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Более 50 000 серверов MS-SQL и PHPMyAdmin были заражены руткитами и майнерами

Night

По вопросам сотрудничества

Night

По вопросам сотрудничества
Команда форума
Админ
Сообщения
935
Реакции
2.276
0 руб.
Telegram
Специалисты компании Guardicore Labs сообщили об обнаружении вредоносной кампании Nansh0u, ответственность за которую, судя по всему, лежит не некой китайской хак-группе. Злоумышленники компрометируют серверы MS-SQL и PHPMyAdmin по всему миру, заражают их криптовалютным майнером, а также устанавливают руткиты, защищающие майнер от удаления. От таких атак пострадали уже более 50 000 серверов.

22971
По данным экспертов, кампания стартовала еще 26 февраля 2019 года, но была обнаружена только в апреле, когда эксперты заметили, что преступники распространяют 20 различных пейлоадов, хостящихся у самых разных провайдеров.

Начальный этап атак весьма прост: злоумышленники находят в сети плохо настроенные и уязвимые серверы Windows MS-SQL и PHPMyAdmin, и при помощи обычного брутфорса и сканирования портов проникают в систему, как правило, с высокими привилегиями. Затем атакующие выполняют ряд команд MS-SQL с целью скачивания вредоносной полезной нагрузки с удаленного сервера. После этого вредонос (и именно майнер криптовалюты TurtleCoin) выполняется с привилегиями SYSTEM, – для этого хакеры применяют известную уязвимость CVE-2014-4113, позволяющую повысить права.


22972

Кроме того, чтобы защитить свою малварь от удаления и гарантировать стабильность заражения, злоумышленники используют kernel-mode руткит, подписанный сертификатом удостоверяющего центра Verisign. В настоящее время срок действия сертификата уже истек, к тому же изначально он был выдан фальшивой китайской компании Hangzhou Hootian Network Technology.
Специалисты Guardicore Labs уже обнародовали список индикаторов компрометации, а также написали специальный скрипт Powershell, который поможет обнаружить заражение Nansh0u или его остатки.
 

Вложения

  • Nansh0u.jpg
    Nansh0u.jpg
    64,3 KB · Просмотры: 369
Сверху Снизу