黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了 一份报告 ，该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动，代号“Nansh0u”，且这一攻击源头是中国黑客。

报告称，包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击，一旦受到攻击，目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。

这并非典型的加密攻击，它使用 APT （Advanced Persistent Threat，高级持续性威胁，本质是针对性攻击）中经常出现的技术，例如假证书和特权升级漏洞。

该攻击活动于 4 月初被首次发现，但可以追溯至 2 月 26 日，每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载，这期间每周至少会有一个新的恶意负载被创建，受感染的计算机数量在一个月内就已翻倍。

在使用管理权限成功登录身份验证后，攻击者在受感染系统上执行一系列 MS-SQL 命令，以从远程文件服务器下载恶意负载，并以 SYSTEM 权限运行它。

在后台，有效负载利用已知的权限提升漏洞（CVE-2014-4113）来获取受感染系统的 SYSTEM 权限。

然后，有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。

研究人员还发布了一份完整的 IoC （危害指标）列表和一个免费的基于 PowerShell 的脚本，Windows 管理员可以使用它来检查他们的系统是否被感染。

由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合，因此，强烈建议管理员为账户设置一个复杂密码。

调查报告完整版： https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/