Nansh0u: Hacker infizieren SQL- und PHPMyAdmin-Server mit Kryptominern

SQL-Server greifen sie bevorzugt mit Brute-Force-Tools an. Bei ihrem Angriff kommen auch ein Kernel-Rootkit und ein Verisign-Zertifikat zum Einsatz. Die Forscher erreichen die Abschaltung von Angriffsservern. Außerdem erklärt Verisign das Zertifikat für ungültig.

Der Sicherheitsanbieter Guardicore Labs hat eine angeblich aus China stammende Hackerkampagne aufgespürt, die es auf windowsbasierte SQL- und PHPMyAdmin-Server abgesehen hat. Ziel der unbekannten Hintermänner ist das Einschleusen eines Kryptominers. Bisher wurden offenbar mehr als 50.000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert.

Motivfoto Hacker (Bild: Shutterstock)Die Nansh0u genannte Kampagne bezeichneten die Forscher Ophir Harpaz und Daniel Goldberg in einem Blogeintrag als ausgeklügelte Variante von bekannten und eher primitiven Kryptomining-Angriffen. Die Attacken begannen demnach am 26. Februar. An einigen Tagen seien mehr als 700 neue Opfer registriert worden.

„Die Nansh0u-Kampange ist kein typischer Kryptominer-Angriff“, erklärten die Forscher. „Sie nutzt Techniken wie gefälschte Zertifikate und Exploits zur Ausweitung von Nutzerrechten, die häufig bei Advanced Persistent Threats zum Einsatz kommen.“

Die Infrastruktur der Kampagne soll sich nach bisherigen Erkenntnissen aus elf Servern zusammensetzen. Die Opfer sollen die Hacker mithilfe von Port-Scannern finden. Beim ersten Angriffsversuch setzen die Angreifer auf ein Brute-Force-Tool für MS-SQL-Anmeldedaten, das häufig schon zum Erfolg führen soll.

Einen kompromittierten SQL-Server bringen die Angreifer mit einem Visual-Basic-Skript dazu, bis zu 20 verschiedene Schadprogramme herunterzuladen. Jede Woche sollen zudem neue Varianten hinzukommen. Die Malware nutzt eine bereits seit 2014 bekannte Schwachstelle in Windows Vista, 7, 8, 8.1 sowie Server 2003, 2008, 2008 R2, 2012 und 2012 R2 aus, die eine nicht autorisierte Ausweitung von Nutzerrechten ermöglicht.

Mit diesen Administratorrechten wird schließlich ein Kryptominer eingerichtet und ein Kernelmodus-Rootkit eingeschleust. Es verhindert, dass der Angriff und Mining-Software abgeschaltet werden. Geschürft werden den Forschern zufolge TurtleCoins für insgesamt vier verschiedene Mining-Pools.

Das Kernelmodus-Rootkit wiederum basiert auf einem Kernelmodus-Treiber, der ein von Verisign ausgestelltes Zertifikat nutzt, das den Treiber als legitim ausgibt. Das Zertifikat wiederum enthält den Namen einer fiktiven chinesischen Firma Hangzhou Hootian Network Technology.

Auch China als Herkunftsland weist aber nicht nur das Zertifikat hin, sondern auch die Verwendung der in China entwickelten Programmiersprache EPL. Zudem seien einige der von den Hackern benutzten Server in China ansässig.

Der Hoster der für die Angriffe genutzten Server hat diese inzwischen abgeschaltet. Auch Verisign widerrief das missbrauchte Zertifikat. Die Forscher schließen jedoch nicht aus, dass die Hintermänner Server und Zertifikat für künftige Aktivitäten austauschen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Themenseiten: China, Cybercrime, Hacker, SQL

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Nansh0u: Hacker infizieren SQL- und PHPMyAdmin-Server mit Kryptominern

Kommentar hinzufügen
  • Am 3. Juni 2019 um 8:11 von max

    Jetzt könnte man sagen, die bösen Chinesen, aber, die Schwachstelle war schon lange bekannt und was wurde dagegen getan? NICHTS!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *