Bleeping Computer'ın 29 Mayıs'ta ABD zamanındaki bir raporuna göre, Guardicore Ağ Güvenliği Laboratuvarı araştırmacıları, dünya çapında Windows MS-SQL ve PHPMyAdmin sunucularına yönelik kapsamlı saldırıları kapsayan ayrıntılı bir rapor yayınladı.
Araştırma, tıp, sağlık, telekomünikasyon, medya ve bilişim sektörlerindeki şirketlere ait 50.000'den fazla sunucunun gelişmiş saldırı araçlarıyla tehlikeye atıldığını ortaya koydu ve bu süre zarfında her gün 700'den fazla yeni kurban ortaya çıktı.
En kafa karıştırıcı şey, bu konunun Çinli hackerlar tarafından yapıldığını düşünmeleridir.
Nansh0u saldırı etkinliği
Raporlara göre, bu operasyon Nansh0u saldırısının yalnızca bir parçası - sözde Nansh0u, orijinal kripto para birimi madenciliği saldırısının karmaşık bir işlemidir.
Şimdiye kadar, arkasındaki hacker organizasyonu dünya çapında yaklaşık 50.000 sunucuya bulaştı. Araştırmacılara göre, Nansh0u'nun saldırı etkinliği olağan cryptojacking davranışından farklıdır ve sahte sertifikalar ve ayrıcalık yükseltme güvenlik açıkları gibi Advanced Persistent Threats (APT) 'de yaygın olarak görülen teknikleri kullanır.
Saldırı ayrıntıları analizi
Guardicore, bu sefer keşfedilen saldırı davranışıyla ilgili derinlemesine araştırma yaptı ve saldırı ilkesini raporda şöyle açıkladı:
Bilgisayar korsanları, Windows MS-SQL ve PHPMyAdmin sunucularını yok etmek için bağlantı noktası tarayıcıları, MS-SQL kaba kuvvet kırma araçları ve uzaktan yürütme modülleri dahil olmak üzere bir dizi araç kullandı. Bağlantı noktası tarayıcı, varsayılan MS-SQL bağlantı noktasının açık olup olmadığını kontrol ederek MS-SQL sunucularını bulmalarına olanak tanır ve bu sunucular otomatik olarak patlatma aracına gönderilir.
Sunucunun güvenliği ihlal edildiğinde, Nansh0u yöneticileri MS-SQL komut dosyalarını kullanarak 20 farklı kötü amaçlı yük sürümüne bulaşacak ve bu da virüs bulaşan bilgisayarda yükü indirecek ve başlatacak.
Saldırı süreci
Daha sonra kötü amaçlı program, virüslü sunucuda SİSTEM ayrıcalıklarına sahip yükleri çalıştırmak için CVE-2014-4113 tarafından izlenen ayrıcalık yükseltme güvenlik açığını kullanır.Silinen ve yürütülen her yük, birden çok işlemi gerçekleştiren bir sarmalayıcı olarak tasarlanmıştır.
Guardicore araştırmacıları, Guardicore Küresel Sensör Ağı (GGSN) ve saldırı sunucuları aracılığıyla toplanan örnekleri analiz ettikten sonra buldukları gibi, sarmalayıcı:
Kripto para madenciliği yapın;
Kayıt anahtarları yazarak kalıcılık oluşturun;
Madenci sürecini sona ermekten korumak için çekirdek modu rootkit kullanın;
Madenciliğin sürekli yürütülmesini sağlamak için bekçi köpeği mekanizmasını kullanın.
Etkilenen sunucuda çok sayıda yük atılırken, rasgele adlandırılmış VMProtect ile karıştırılmış çekirdek modu sürücüsü de atılır ve bu da çoğu AV motoru algılama programının başlamasına neden olur.
Kötü amaçlı yazılımın anti-virüs motoru tarafından "uyumlu" hale getirilmemesi için, fiziksel donanım aygıtlarıyla iletişimi sürdürmek ve kötü amaçlı programları gizlemek için bu belirli kötü amaçlı yazılım tarafından kullanılmayan dahili Windows işlem nesnelerini değiştirmek için kullanılabilen bir rootkit işlevi de içerir.
Çekirdek modu sürücü dijital imzası
Ek olarak, çekirdek modu sürücüsü, atılan kötü amaçlı yazılımın sonlandırılmamasını sağlar.Program, Windows sisteminin Windows 7'den Windows 10'a, hatta beta sürümleri de dahil olmak üzere hemen hemen her sürümünü destekler.
Rapora göre Guardicore Labs ekibi, bu şifreleme kaçırma etkinliği için saldırı sırasında kullanılan IP adreslerini ve madencilik havuzu alanı hakkında ayrıntılı bilgileri içeren kapsamlı bir IoC listesi sağladı.
Yukarıdaki saldırı süreci aracılığıyla, bilgisayar korsanı, savunmasız sunucunun IP adresini, bağlantı noktasını, kullanıcı adını ve şifresini alabilir.Korsanı, sunucu ayarlarına müdahale edebilir ve saldırganın sunucusundan kötü amaçlı dosyaları indirmek için kurban sisteminde bir Visual-Basic komut dosyası oluşturabilir.
Saldırı programının "Hangzhou Hootian Network Technology Co., Ltd." adlı bir şirkete Verisign tarafından verilen bir sertifikayı sahte ve imzaladığını belirtmekte fayda var. Guardicore, sertifikanın aslında uzun zaman önce iptal edildiğini söyledi.
"Bu saldırı, sıradan şifrelerin günümüzün saldırı sürecinde hala en zayıf halka olduğunu bir kez daha kanıtlıyor. Binlerce sunucunun basit kaba kuvvet saldırıları tarafından tehlikeye atıldığını görerek, şirketlerin güçlü kimlik bilgileri ve ağ bölümleme kullanmalarını şiddetle tavsiye ediyoruz. Varlık çözümlerini korumak için, "Guardicore laboratuvar ekibi sonuca vardı.
Çinli bir bilgisayar korsanı ne yaptı?
Guardicore, Nansh0u'nun saldırı faaliyetlerinin takibi sırasında, saldırılarının hedefleri ve yöntemleri hakkında derinlemesine araştırma yaptıklarını ve faaliyetlerin arkasındaki uygulayıcıların muhtemelen Çinli hackerlar olduğu sonucuna vardıklarını belirtti.
Guardicore Laboratuvarı'ndan araştırmacılar, saldırıyı 26 Şubat'ta tespit ettiklerini söylediler. Daha fazla araştırma, Nisan ayındaki benzer üç saldırının tüm kaynak IP adreslerinin Güney Afrika'dan geldiğini, aynı saldırı sürecini paylaştığını ve aynı saldırı yöntemlerini kullandığını ortaya çıkardı. . Kurbanlar çoğunlukla Çin, Amerika Birleşik Devletleri ve Hindistan'da bulunuyor.
Birden fazla ipucuna göre, Guardicore Labs ekibi sonunda bu etkinliğin Çinli hackerlar tarafından gerçekleştirildiğine inandı.Nedenler şu şekilde:
Saldırgan, Çince tabanlı programlama dili EPL yazma aracını kullanmayı seçti.
Bu kampanya için dağıtılan dosya sunucularından bazıları Çin HFS'dir.
Sunucudaki birçok günlük dosyası ve ikili dosya, yok edilen makine tekilleştirmesinin günlüklerindeki sonuçlar ("kopyalar kaldırıldı") gibi Çince dizeler içerir veya bağlantı noktası taramasını başlatan komut dosyasının adıyla başlar ("başlat ").
Referans kaynağı: Bleeping Computer
Lei Feng Ağı Lei Feng Ağı Lei Feng Ağı