一個劫持挖礦活動「Nansh0u」正在急速擴展,現時已有 5 萬台伺服器受到感染,正在「挖掘」開源加密貨幣 TurtleCoin,消耗自己的資源替黑客賺取金錢,而且研究人員相信活動的幕後成員以中文作為母語。
APT 組織成用的 TurtleCoin
活動名稱「Nansh0u」的來源是研究人員在攻擊者的伺服器內,純文字檔案字符串存在Nansh0u而命名,而且並不是另一款普遍的挖礦攻擊。劫持挖礦的惡意程式瞄準一款開源的加密貨幣 TurtleCoin,是經過有技術的精密活動散播,經常被 APT 組織所採用,當中涉及使用證書和 20 種不同「載物」的版本。
被感染的伺服器屬於保健、電訊、媒體和 IT 領域,總數超過 5 萬台,當伺服器被入侵便會被惡意的「載物」感染,在 Nansh0u 活動中的載物就是劫持挖礦工具,並且安裝精密的 kernel-mode rootkit 以防止惡意程式被終止。
活動歷時半年
追溯 Nansh0u 活動要回到今年的2月,但是研究人員在今年 4 月發現 3 個類似的攻擊,全部來源 IP 地址都來自南非,並且分享相同的攻擊步驟和使用相同的攻擊方法。在 2 月的時候,研究人員每日發現超過 700 名受害者,並觀察到 20 個版本惡意的載物,每星期至少推出一個新版本並立即投入使用。在這段期間活動快速感染全世界 90 個國家的伺服器,當中主要來自 中國、美國和印度,單是 4 至 5 月期間感染伺服器的數字急增一倍。而研究人員也相信有與中國有關連的攻擊者牽涉在內,因為黑客採用中文為基礎的程式語言,在很多記錄檔案中都含有中文字符串。
攻擊過程
攻擊者透過掃瞄 IP 地址開啟的 MS-SQL 埠來尋找 MS-SQL 伺服器,然後就通過暴力破解 (使用數以萬計常用的登入資料) 破解那些裝置,當登入資料正確,伺服器地址、登入名稱和密碼便會儲存到檔案留作未來之用。隨後黑客登入受害者的系統,在裝置上執行 MS-SQL 指令從遠端檔案伺服器下載「載物」和加密貨幣工具惡意程式,指令採了安全漏洞 CVE-2014-4113 利用系統權行執行惡意的載物。
研究人員在攻擊者的伺服器發現 20 個載物的樣本,全部具有多種功能,包括執行劫持挖礦工具、保護挖礦過程等,當中封閉來源 JCE 挖礦工具和開源 XMRig 挖礦工具都以設定為挖掘 TurtleCoin 加密貨幣。研究人員認為攻擊者目標明顯是劫持挖礦,盜取受害者的資源直接替自己圖利,此外,攻擊者也會小心保存已入侵伺服器資料,令他們可以在將來重用或出售。不過由於 TurtleCoin 是私人向的加密貨幣,所以極難準確計算錢包的金額。
強力的登入資料組合十分重要
研究人員指出,MS-SQL 伺服器的登入名稱和密碼太弱是這次攻擊的主因,建議管理員使用強力的組合,因為當中的暴力破解其實是以常見的密碼 (通常組合結構較弱) 作為基本,並成功闖入數以萬計的伺服器,問題顯而易見。
資料來源:Threat Post