科学武器随时可供犯罪分子,研究人员发布
安全研究人员警告,基于中国的网络攻击者已经违反了医疗保健,电信,媒体和IT部门的公司的50,000多台服务器。
根据Paraticore Labs的研究人员追踪了一个月的研究人员,作为一个针对Windows Microsoft SQL Server和PhpMyadmin服务器的网络攻击活动的一部分,该机器被妥协。
攻击者使用2014年以来已知的端口扫描仪通过扫描IP地址来检测MS-SQL服务器,并检查是否打开典型的MS-SQL端口。
一旦使用常用的凭证在蛮力攻击中使用常用的凭证,研究人员称,目标服务器被感染了恶意有效载荷,该有效载荷丢弃了加密货币矿床并安装了复杂的内核模式rootkit以防止恶意软件被终止。
研究人员在博客帖子中表示,攻击纳米竞争,被称为20个不同的有效载荷版本,其中包括每周至少一次创建一次。
研究人员所说的每个有效载荷都是一种带有几个职能的包装器,包括执行加密货币矿工;通过编写注册表运行密钥来创建持久性;使用内核模式rootkit保护矿工过程免于终止;并确保矿工使用看板机制的连续执行。
研究人员发表了一份妥协(IOC)指标列表,包括用于检测受感染机器的脚本。
在研究人员联系托管服务提供商击落攻击服务器和rootkit证书的发行人以撤消证书后,该活动被停止。
据研究人员称,虽然先进的攻击工具通常是高技能对手的财产,但这些工具可以落入下级攻击者的手中。
“似乎在最近属于国家级黑客的工具,今天是甚至是普通罪犯的财产,”研究人员说。
研究人员表示,通过弱的用户名和密码,通过弱用户名和密码启用Windows MS-SQL服务器的攻击,添加具有强大的凭证是感染和清洁机器之间的差异。
“这项活动再次展示了普通的密码仍包含当今攻击流中最薄弱的链接。研究人员表示,看到一定数转,通过简单的蛮力攻击损害了数万台服务器,我们强烈建议组织保护其资产具有强大的凭据,“研究人员表示。
他们还建议使用MS-SQL的公司在Microsoft指南中实现建议,并通过分割网络尽可能多地分离来自内部服务器的Internet公开的服务器。