Abo
  • IT-Karriere:

Nansh0u: Ausgefeilter Angriff auf Windows-Datenbankserver

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Artikel veröffentlicht am ,
Ob dieser Server auch von Nansh0u betroffen war?
Ob dieser Server auch von Nansh0u betroffen war? (Bild: ColossusCloud)

Eine Nansh0u genannte Angriffsserie hat es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen gehabt. Dort platzierte sie ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Entdeckt wurden die Angriffe von der Sicherheitsfirma Guardicore, die Zugriff auf die Infrastruktur der Angreifer erlangen konnte. "Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen", wie Guardicore schreibt.

Stellenmarkt
  1. ERGO Group AG, Düsseldorf
  2. Allianz Deutschland AG, München, Unterföhring

Über einen Bruteforce-Angriff, also das massenhafte Durchprobieren von Passwortkombinationen, konnten die Angreifer Zugriff auf Microsoft-SQL-Server und in manchen Fällen PhpMyAdmin erlangen. Über diese schleusten sie einen Kryptominer ein. Anschließend weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. "Die Kompilierungszeit lässt darauf schließen, dass der Treiber im Jahr 2016 erstellt wurde. Dennoch erkennen die meisten Antiviren-Programme die Treiberdatei nicht als bösartig", schreibt Guardicore.

Der Treiber nutzte eine alte Sicherheitslücke (CVE-2014-4113) aus, die bereits 2014 von Microsoft gepatcht wurde. Mit den Administrator-Rechten platzierten sie ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten.

50.000 Server betroffen

"Durch den Zugriff auf die Infrastruktur des Angreifers konnten wir die relevanten Dateiserver überwachen und Einblicke in die Größe und den Umfang der Kampagne gewinnen", schreibt die Sicherheitsfirma. Mindestens seit Februar seien die Angreifer aktiv, sagt Guardicore. Insgesamt seien über 50.000 Maschinen betroffen, darunter Server aus dem Gesundheits- und Telekommunikationsbereich. Die verwendete Schadsoftware sei immmer wieder angepasst worden. Insgesamt konnte die Sicherheitsfirma nach eigenen Angaben 20 verschiedene Varianten ausmachen. "Wir haben den Hosting-Anbieter sowie den Aussteller des Rootkit-Zertifikats kontaktiert. Infolgedessen wurden die Server der Angreifer abgeschaltet und das Zertifikat widerrufen", schreibt Guardicore.

Die Zuordnung von Hackerangriffen ist ein komplexes Unterfangen. Guardicore vermutet, dass die Angreifer aus China stammen. Die verwendeten Tools seien zum Teil in der proprietäre Programmiersprache EPL (Easy Programming Language) geschrieben worden, welche aus China stammt. Zudem hätten die Sicherheitsforscher in vielen Log- und Binärdateien chinesische Schriftzeichen entdeckt. Manche Dateiserver hätten zudem ein chinesisches Dateisystem verwendet.

Kriminelle nutzen Angriffstechniken auf APT-Niveau

Solche ausgefeilten Angriffstechniken sind üblicherweise nicht im Repertoire von Krypto-Mining-Angreifern zu finden. "Es sieht so aus, als ob die Werkzeuge, die bisher nur staatlichen Angreifern zur Verfügung standen, nun auch von gewöhnlichen Kriminellen verwendet werden", schreibt Guardicore. Die Angriffe zeigen aber ein weiteres Mal, wie wichtig sichere Passwörter sind - auch oder gerade bei Datenbanksoftware. Ohne die schlechten Passwörter hätten die Angreifer keinen Zugriff erlangen können.



Anzeige
Hardware-Angebote
  1. 294€
  2. 157,90€ + Versand
  3. (reduzierte Überstände, Restposten & Co.)

gaym0r 01. Jun 2019 / Themenstart

Hab ich gelesen, beantwortet die Frage aber nur bedingt.

mtr (golem.de) 31. Mai 2019 / Themenstart

Hallo dosperado, wir hoffen doch nicht, dass die Schadsoftware von Kindern entwickelt...

Kommentieren


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Digitaler Knoten 4.0: Auto und Ampel im Austausch
Digitaler Knoten 4.0
Auto und Ampel im Austausch

Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
Ein Bericht von Werner Pluta

  1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
  2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


      •  /