Abo
  • IT-Karriere:

Nansh0u: Ausgefeilter Angriff auf Windows-Datenbankserver

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Artikel veröffentlicht am ,
Ob dieser Server auch von Nansh0u betroffen war?
Ob dieser Server auch von Nansh0u betroffen war? (Bild: ColossusCloud)

Eine Nansh0u genannte Angriffsserie hat es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen gehabt. Dort platzierte sie ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Entdeckt wurden die Angriffe von der Sicherheitsfirma Guardicore, die Zugriff auf die Infrastruktur der Angreifer erlangen konnte. "Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen", wie Guardicore schreibt.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)

Über einen Bruteforce-Angriff, also das massenhafte Durchprobieren von Passwortkombinationen, konnten die Angreifer Zugriff auf Microsoft-SQL-Server und in manchen Fällen PhpMyAdmin erlangen. Über diese schleusten sie einen Kryptominer ein. Anschließend weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. "Die Kompilierungszeit lässt darauf schließen, dass der Treiber im Jahr 2016 erstellt wurde. Dennoch erkennen die meisten Antiviren-Programme die Treiberdatei nicht als bösartig", schreibt Guardicore.

Der Treiber nutzte eine alte Sicherheitslücke (CVE-2014-4113) aus, die bereits 2014 von Microsoft gepatcht wurde. Mit den Administrator-Rechten platzierten sie ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten.

50.000 Server betroffen

"Durch den Zugriff auf die Infrastruktur des Angreifers konnten wir die relevanten Dateiserver überwachen und Einblicke in die Größe und den Umfang der Kampagne gewinnen", schreibt die Sicherheitsfirma. Mindestens seit Februar seien die Angreifer aktiv, sagt Guardicore. Insgesamt seien über 50.000 Maschinen betroffen, darunter Server aus dem Gesundheits- und Telekommunikationsbereich. Die verwendete Schadsoftware sei immmer wieder angepasst worden. Insgesamt konnte die Sicherheitsfirma nach eigenen Angaben 20 verschiedene Varianten ausmachen. "Wir haben den Hosting-Anbieter sowie den Aussteller des Rootkit-Zertifikats kontaktiert. Infolgedessen wurden die Server der Angreifer abgeschaltet und das Zertifikat widerrufen", schreibt Guardicore.

Die Zuordnung von Hackerangriffen ist ein komplexes Unterfangen. Guardicore vermutet, dass die Angreifer aus China stammen. Die verwendeten Tools seien zum Teil in der proprietäre Programmiersprache EPL (Easy Programming Language) geschrieben worden, welche aus China stammt. Zudem hätten die Sicherheitsforscher in vielen Log- und Binärdateien chinesische Schriftzeichen entdeckt. Manche Dateiserver hätten zudem ein chinesisches Dateisystem verwendet.

Kriminelle nutzen Angriffstechniken auf APT-Niveau

Solche ausgefeilten Angriffstechniken sind üblicherweise nicht im Repertoire von Krypto-Mining-Angreifern zu finden. "Es sieht so aus, als ob die Werkzeuge, die bisher nur staatlichen Angreifern zur Verfügung standen, nun auch von gewöhnlichen Kriminellen verwendet werden", schreibt Guardicore. Die Angriffe zeigen aber ein weiteres Mal, wie wichtig sichere Passwörter sind - auch oder gerade bei Datenbanksoftware. Ohne die schlechten Passwörter hätten die Angreifer keinen Zugriff erlangen können.



Anzeige
Top-Angebote
  1. 169,90€ + Versand (Vergleichspreis 214,27€ + Versand)
  2. auf Geräte von Acer, BenQ, Epson und Optoma
  3. 279€ (Bestpreis!)

gaym0r 01. Jun 2019

Hab ich gelesen, beantwortet die Frage aber nur bedingt.

mtr (golem.de) 31. Mai 2019

Hallo dosperado, wir hoffen doch nicht, dass die Schadsoftware von Kindern entwickelt...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

    •  /