• IT-Karriere:
  • Services:

Nansh0u: Ausgefeilter Angriff auf Windows-Datenbankserver

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Artikel veröffentlicht am ,
Ob dieser Server auch von Nansh0u betroffen war?
Ob dieser Server auch von Nansh0u betroffen war? (Bild: ColossusCloud)

Eine Nansh0u genannte Angriffsserie hat es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen gehabt. Dort platzierte sie ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Entdeckt wurden die Angriffe von der Sicherheitsfirma Guardicore, die Zugriff auf die Infrastruktur der Angreifer erlangen konnte. "Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen", wie Guardicore schreibt.

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. Deutsche Rentenversicherung Bund, Berlin

Über einen Bruteforce-Angriff, also das massenhafte Durchprobieren von Passwortkombinationen, konnten die Angreifer Zugriff auf Microsoft-SQL-Server und in manchen Fällen PhpMyAdmin erlangen. Über diese schleusten sie einen Kryptominer ein. Anschließend weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. "Die Kompilierungszeit lässt darauf schließen, dass der Treiber im Jahr 2016 erstellt wurde. Dennoch erkennen die meisten Antiviren-Programme die Treiberdatei nicht als bösartig", schreibt Guardicore.

Der Treiber nutzte eine alte Sicherheitslücke (CVE-2014-4113) aus, die bereits 2014 von Microsoft gepatcht wurde. Mit den Administrator-Rechten platzierten sie ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten.

50.000 Server betroffen

"Durch den Zugriff auf die Infrastruktur des Angreifers konnten wir die relevanten Dateiserver überwachen und Einblicke in die Größe und den Umfang der Kampagne gewinnen", schreibt die Sicherheitsfirma. Mindestens seit Februar seien die Angreifer aktiv, sagt Guardicore. Insgesamt seien über 50.000 Maschinen betroffen, darunter Server aus dem Gesundheits- und Telekommunikationsbereich. Die verwendete Schadsoftware sei immmer wieder angepasst worden. Insgesamt konnte die Sicherheitsfirma nach eigenen Angaben 20 verschiedene Varianten ausmachen. "Wir haben den Hosting-Anbieter sowie den Aussteller des Rootkit-Zertifikats kontaktiert. Infolgedessen wurden die Server der Angreifer abgeschaltet und das Zertifikat widerrufen", schreibt Guardicore.

Die Zuordnung von Hackerangriffen ist ein komplexes Unterfangen. Guardicore vermutet, dass die Angreifer aus China stammen. Die verwendeten Tools seien zum Teil in der proprietäre Programmiersprache EPL (Easy Programming Language) geschrieben worden, welche aus China stammt. Zudem hätten die Sicherheitsforscher in vielen Log- und Binärdateien chinesische Schriftzeichen entdeckt. Manche Dateiserver hätten zudem ein chinesisches Dateisystem verwendet.

Kriminelle nutzen Angriffstechniken auf APT-Niveau

Solche ausgefeilten Angriffstechniken sind üblicherweise nicht im Repertoire von Krypto-Mining-Angreifern zu finden. "Es sieht so aus, als ob die Werkzeuge, die bisher nur staatlichen Angreifern zur Verfügung standen, nun auch von gewöhnlichen Kriminellen verwendet werden", schreibt Guardicore. Die Angriffe zeigen aber ein weiteres Mal, wie wichtig sichere Passwörter sind - auch oder gerade bei Datenbanksoftware. Ohne die schlechten Passwörter hätten die Angreifer keinen Zugriff erlangen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Transformers 1-4 und Die Tribute von Panem - The Hunger Games 4K für je 12€ und Football...
  2. (u. a. Seagate Expansion Desktop 6 TB/8 TB für 99€/129€ und Seagate Expansion Portable 5 TB...
  3. ab 32,99€/ Season Pass 17,49€

gaym0r 01. Jun 2019

Hab ich gelesen, beantwortet die Frage aber nur bedingt.

mtr (golem.de) 31. Mai 2019

Hallo dosperado, wir hoffen doch nicht, dass die Schadsoftware von Kindern entwickelt...


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

    •  /