• IT-Karriere:
  • Services:

Nansh0u: Ausgefeilter Angriff auf Windows-Datenbankserver

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Artikel veröffentlicht am ,
Ob dieser Server auch von Nansh0u betroffen war?
Ob dieser Server auch von Nansh0u betroffen war? (Bild: ColossusCloud)

Eine Nansh0u genannte Angriffsserie hat es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen gehabt. Dort platzierte sie ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Entdeckt wurden die Angriffe von der Sicherheitsfirma Guardicore, die Zugriff auf die Infrastruktur der Angreifer erlangen konnte. "Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen", wie Guardicore schreibt.

Stellenmarkt
  1. Technische Hochschule Rosenheim, Rosenheim
  2. iComps GmbH, Erfurt, Bad Schwalbach

Über einen Bruteforce-Angriff, also das massenhafte Durchprobieren von Passwortkombinationen, konnten die Angreifer Zugriff auf Microsoft-SQL-Server und in manchen Fällen PhpMyAdmin erlangen. Über diese schleusten sie einen Kryptominer ein. Anschließend weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. "Die Kompilierungszeit lässt darauf schließen, dass der Treiber im Jahr 2016 erstellt wurde. Dennoch erkennen die meisten Antiviren-Programme die Treiberdatei nicht als bösartig", schreibt Guardicore.

Der Treiber nutzte eine alte Sicherheitslücke (CVE-2014-4113) aus, die bereits 2014 von Microsoft gepatcht wurde. Mit den Administrator-Rechten platzierten sie ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten.

50.000 Server betroffen

"Durch den Zugriff auf die Infrastruktur des Angreifers konnten wir die relevanten Dateiserver überwachen und Einblicke in die Größe und den Umfang der Kampagne gewinnen", schreibt die Sicherheitsfirma. Mindestens seit Februar seien die Angreifer aktiv, sagt Guardicore. Insgesamt seien über 50.000 Maschinen betroffen, darunter Server aus dem Gesundheits- und Telekommunikationsbereich. Die verwendete Schadsoftware sei immmer wieder angepasst worden. Insgesamt konnte die Sicherheitsfirma nach eigenen Angaben 20 verschiedene Varianten ausmachen. "Wir haben den Hosting-Anbieter sowie den Aussteller des Rootkit-Zertifikats kontaktiert. Infolgedessen wurden die Server der Angreifer abgeschaltet und das Zertifikat widerrufen", schreibt Guardicore.

Die Zuordnung von Hackerangriffen ist ein komplexes Unterfangen. Guardicore vermutet, dass die Angreifer aus China stammen. Die verwendeten Tools seien zum Teil in der proprietäre Programmiersprache EPL (Easy Programming Language) geschrieben worden, welche aus China stammt. Zudem hätten die Sicherheitsforscher in vielen Log- und Binärdateien chinesische Schriftzeichen entdeckt. Manche Dateiserver hätten zudem ein chinesisches Dateisystem verwendet.

Kriminelle nutzen Angriffstechniken auf APT-Niveau

Solche ausgefeilten Angriffstechniken sind üblicherweise nicht im Repertoire von Krypto-Mining-Angreifern zu finden. "Es sieht so aus, als ob die Werkzeuge, die bisher nur staatlichen Angreifern zur Verfügung standen, nun auch von gewöhnlichen Kriminellen verwendet werden", schreibt Guardicore. Die Angriffe zeigen aber ein weiteres Mal, wie wichtig sichere Passwörter sind - auch oder gerade bei Datenbanksoftware. Ohne die schlechten Passwörter hätten die Angreifer keinen Zugriff erlangen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Remnant - From the Ashes für 18,99€, Football Manager 2021 für 28,99€, Anno 1800...
  2. (u. a. Samsung 860 Evo 1TB SATA-SSD für 99,99€)
  3. (u. a. Gigabyte GeForce RTX 3080 Gaming OC 10G für 1.369€)
  4. 212,22€ (Bestpreis)

gaym0r 01. Jun 2019

Hab ich gelesen, beantwortet die Frage aber nur bedingt.

mtr (golem.de) 31. Mai 2019

Hallo dosperado, wir hoffen doch nicht, dass die Schadsoftware von Kindern entwickelt...


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
    •  /