据Bleeping Computer美国时间5月29日报道，近日，Guardicore网络安全实验室的研究人员发布了一份详细的报告，内容涉及全球范围内攻击Windows MS-SQL和PHPMyAdmin服务器的广泛攻击活动。

调查发现，属于医疗、保健、电信、媒体和IT领域公司的超过50000台服务器被复杂攻击工具破坏，期间每天有超过700名新受害者出现。

最让人疑惑的是，它们觉得，这事是中国黑客干的。

Nansh0u攻击活动

据报道，此次行动仅为Nansh0u攻击活动的一部分——所谓的Nansh0u是对原始加密货币挖掘攻击的复杂化操作。

截至目前，其背后的黑客组织已经感染了全球近50000台服务器。研究人员称，Nansh0u攻击活动与常规情况下的加密劫持行为不同，它使用了常见于高级持续威胁（APT）中的技术，如假证书和特权升级漏洞。

攻击细节分析

Guardicore针对此次发现的攻击行为进行深入研究，并在报告中详细阐述了其攻击原理：

为了破坏Windows MS-SQL和PHPMyAdmin服务器，黑客使用了一系列工具，包括端口扫描程序，MS-SQL暴力破解工具和远程执行模块。

端口扫描程序允许他们通过检查默认的MS-SQL端口是否打开来找到MS-SQL服务器，这些服务器将自动送入爆破工具。

一旦服务器被攻破，Nansh0u活动执行者将使用MS-SQL脚本感染20个不同的恶意负载版本，该脚本将在受感染的计算机上下载并启动有效负载。

攻击流程

随后，恶意程序会使用CVE-2014-4113跟踪的权限提升漏洞利用受感染服务器上的SYSTEM权限运行有效负载，每个已删除和执行的有效负载均被设计为执行多个操作的包装器。

正如Guardicore的研究人员在分析通过Guardicore全球传感器网络（GGSN）和攻击服务器收集的样本后发现的，包装器将：

－ 执行加密货币ku

－ 通过编写注册表运行键来创建持久性

－ 使用内核模式rootkit保护miner进程免于终止

－ 使用看门狗机制确保ku的连续执行

在受感染的服务器上丢弃大量有效负载的同时也丢弃了一个随机命名的VMProtect-obfuscated内核模式驱动程序，这将引发大多数AV引擎的检测程序启动。

为了不被恶意软件查杀引擎“和谐”掉，它还包含了rootkit功能，可用于与物理硬件设备保持通信以及修改此特定恶意软件未使用的内部Windows进程对象，以此伪装恶意程序。