• IT-Karriere:
  • Services:

Nansh0u: Ausgefeilter Angriff auf Windows-Datenbankserver

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Artikel veröffentlicht am ,
Ob dieser Server auch von Nansh0u betroffen war?
Ob dieser Server auch von Nansh0u betroffen war? (Bild: ColossusCloud)

Eine Nansh0u genannte Angriffsserie hat es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen gehabt. Dort platzierte sie ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Entdeckt wurden die Angriffe von der Sicherheitsfirma Guardicore, die Zugriff auf die Infrastruktur der Angreifer erlangen konnte. "Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen", wie Guardicore schreibt.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Nextron Systems GmbH, Dietzenbach bei Frankfurt am Main

Über einen Bruteforce-Angriff, also das massenhafte Durchprobieren von Passwortkombinationen, konnten die Angreifer Zugriff auf Microsoft-SQL-Server und in manchen Fällen PhpMyAdmin erlangen. Über diese schleusten sie einen Kryptominer ein. Anschließend weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. "Die Kompilierungszeit lässt darauf schließen, dass der Treiber im Jahr 2016 erstellt wurde. Dennoch erkennen die meisten Antiviren-Programme die Treiberdatei nicht als bösartig", schreibt Guardicore.

Der Treiber nutzte eine alte Sicherheitslücke (CVE-2014-4113) aus, die bereits 2014 von Microsoft gepatcht wurde. Mit den Administrator-Rechten platzierten sie ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten.

50.000 Server betroffen

"Durch den Zugriff auf die Infrastruktur des Angreifers konnten wir die relevanten Dateiserver überwachen und Einblicke in die Größe und den Umfang der Kampagne gewinnen", schreibt die Sicherheitsfirma. Mindestens seit Februar seien die Angreifer aktiv, sagt Guardicore. Insgesamt seien über 50.000 Maschinen betroffen, darunter Server aus dem Gesundheits- und Telekommunikationsbereich. Die verwendete Schadsoftware sei immmer wieder angepasst worden. Insgesamt konnte die Sicherheitsfirma nach eigenen Angaben 20 verschiedene Varianten ausmachen. "Wir haben den Hosting-Anbieter sowie den Aussteller des Rootkit-Zertifikats kontaktiert. Infolgedessen wurden die Server der Angreifer abgeschaltet und das Zertifikat widerrufen", schreibt Guardicore.

Die Zuordnung von Hackerangriffen ist ein komplexes Unterfangen. Guardicore vermutet, dass die Angreifer aus China stammen. Die verwendeten Tools seien zum Teil in der proprietäre Programmiersprache EPL (Easy Programming Language) geschrieben worden, welche aus China stammt. Zudem hätten die Sicherheitsforscher in vielen Log- und Binärdateien chinesische Schriftzeichen entdeckt. Manche Dateiserver hätten zudem ein chinesisches Dateisystem verwendet.

Kriminelle nutzen Angriffstechniken auf APT-Niveau

Solche ausgefeilten Angriffstechniken sind üblicherweise nicht im Repertoire von Krypto-Mining-Angreifern zu finden. "Es sieht so aus, als ob die Werkzeuge, die bisher nur staatlichen Angreifern zur Verfügung standen, nun auch von gewöhnlichen Kriminellen verwendet werden", schreibt Guardicore. Die Angriffe zeigen aber ein weiteres Mal, wie wichtig sichere Passwörter sind - auch oder gerade bei Datenbanksoftware. Ohne die schlechten Passwörter hätten die Angreifer keinen Zugriff erlangen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Creative Sound BlasterX G6 für 99,90€ + 6,79€ Versand statt 144,60€ inkl. Versand im...
  2. (u. a. Persona 5 Royal PS4 für 24,36€ + 2,99€ Versand oder Marktabholung, Yakuza Remastered...
  3. (u. a. Seagate Expansion Desktop 8TB für 125,75€ und SanDisk Ultra Micro-SDXC 128 GB für 13...
  4. (u. a. F1 2020 - Deluxe Schumacher Edition [EU Key] für 42,99€ und Borderlands 3 - Steam Key...

gaym0r 01. Jun 2019

Hab ich gelesen, beantwortet die Frage aber nur bedingt.

mtr (golem.de) 31. Mai 2019

Hallo dosperado, wir hoffen doch nicht, dass die Schadsoftware von Kindern entwickelt...


Folgen Sie uns
       


24-zu-10-Monitor LG 38GL950G - Test

LGs 21:9-Monitor 38GL950G überzeugt durch gute Farben und sehr gute Leistung in Spielen und beim Filmeschauen. Allerdings gibt es einige Probleme beim Übertakten des Panels.

24-zu-10-Monitor LG 38GL950G - Test Video aufrufen
Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Musik Software generiert Nirvana-Songtexte
  2. mmap Codeanalyse mit sechs Zeilen Bash
  3. Digitale Kultur Demoszene wird finnisches Kulturerbe

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Energiewende: Schafft endlich das Brennstoffzellenauto ab!
    Energiewende
    Schafft endlich das Brennstoffzellenauto ab!

    Sie sind teurer und leistungsschwächer als E-Autos und brauchen dreimal so viel Strom. Der Akku hat gewonnen. Wasserstoff sollte für Chemie benutzt werden.
    Ein IMHO von Frank Wunderlich-Pfeiffer

    1. Hyundai Nexo Wasserdampf im Rückspiegel
    2. Brennstoffzellenauto Bayern will 100 Wasserstofftankstellen bauen
    3. Elektromobilität Daimler und Volvo wollen Brennstoffzellen für Lkw entwickeln

      •  /