|
E安全12月21日讯 以色列安全公司GuardiCore近日发布报告称,某神秘中国黑客组织在过去一年当中持续针对Windows与Linux系统上的MSSQL与MySQL数据库发起攻击,其利用庞大的基础设施扫描易受攻击的目标主机,进而发动攻击并托管恶意软件。该组织采用广泛的基础设施与相关性较低的恶意软件方案,使得安全人员至今未能将该组织与其分散的攻击活动联系起来。最近,该组织部署的三种不同设计特性的恶意软件(针对不同目标)被安全公司GuardiCore联系起来。
神秘中国黑客组织相关分析 GuardiCore公司昨天发布报告称,该公司研究人员在经过数月的追踪之后发现,这个神秘的黑客组织的恶意行为主要分为三个活动,且每个活动都对应一种新的恶意软件。 恶意软件Hex、Taylor、Hanako: 第一波攻击指向运行有MSSQL数据库的Windows服务器,攻击者在这里部署一款名为Hex的恶意软件——其在本质上属于远程访问木马(简称RAT)与加密货币采矿木马。 第二波攻击则指向运行在Windows服务器上的MSSQL数据库,这一次攻击者们转而采用名为Taylor的恶意软件,其负责充当键盘记录器外加后门。 第三波攻击更为多样化,旨在扫描Windows与Linux服务器上运行的MYSQL与MySQL数据库。在此类攻击中,黑客们安装了一款名为Hanako的恶意软件,这是一款专门用于发动DDoS攻击的木马程序。
攻击者非常谨慎地掩盖网络活动 该神秘黑客组织利用已被感染的服务器扫描少量IP地址,并借此查找其它使用低强度登录凭证的数据库服务器,从而完成对易受攻击服务器的入侵。
黑客们非常小心地将扫描行为限制在少量IP地址范围之内,这样受感染主机就会扫描大量其它服务器; 此外,他们还利用受感染主机执行扫描操作,从而避免中央命令与控制(C&C)基础设施被其安全保护方所发现。 该组织还在恶意软件之间任意切换,时而结合使用,这意味着每次攻击会产生约300个独特的恶意软件二进制文件。此外,他们还不断轮换C&C服务器与域名,这种作法在国家支持型黑客活动中较为常见。 攻击者追击云基础设施 根据GuardiCore方面的介绍,神秘黑客组织对微软Azure以及亚马逊AWS公有IP范围进行扫描,希望借此发现采用低强度凭证且负责存储敏感信息的企业云服务器。 黑客们集中精力确保自身回避先进安全产品的扫描的同时,其攻击活动仍影响到数以万计的服务器。今年3月发布的Taylor恶意软件所涉及的服务器就超过8万台。Taylor的取名源自研究人员们在一台C&C服务器上所发现的美国歌手Taylor Swift的照片。在此之前,由于整个攻击流程非常隐蔽,卡巴斯基方面曾于今年2月将Taylor误认为是Mirai恶意软件的Windows变种版本。 GuardiCore公司将研究这些攻击活动的过程描述为“一种类似于密室逃脱般的,一环扣一环的追踪体验”。研究工作非常复杂,在这种情况下,逃脱挑战困扰了研究人员们近一年时间,但CuardiCore公司最终能够对攻击者的可能位置作出判断。 大部分网络攻击受害者位于中国 研究人员们指出,“代码当中经常出现中文注释,并且有充分的证据表明该黑客组织来自中国。大部分受害者也集中在中国。另外,Hex的恶意软件(RAT木马)还将自身伪装为流行的中文程序,且配置文件所列出的电子邮件地址(免费的)也源自各大中国服务商。”
目前,MSSQL与MySQL服务器的拥有者们应确保其数据库帐户使用可靠密码,配备可阻止暴力攻击的防火墙,同时还应检查其系统是否存在以下数据库管理员帐户——攻击者会利用这些帐户在受感染的系统上创建后门。 hanako kisadminnew1 401hk$ guest Huazhongdiguo110
今年早些时候,GuardiCore方面还发现了BondNet,这是一套由超过15000台Windows Server设备构成的僵尸网络,专门用于加密货币采矿。研究人员们认为BondNet同样源自中国。
转自:E安全
| 
免费注册
发表于 2017-12-21 17:38