ms-sql

50 000 Serveurs MS-SQL et PHPMyAdmin infectés par un Rootkit

Les chercheurs en cybersécurité de Guardicore Labs ont publié un rapport détaillé sur une campagne de cryptojacking ciblant les serveurs Windows MS-SQL et PHPMyAdmin dans le monde entier.

Nommé Nansh0u, la campagne aurait apparemment été lancé par un groupe Chinois qui a infecté près de 50 000 serveurs et installé un rootkit sophistiqué sur les systèmes compromis pour empêcher la détection du malware.

La campagne date du 26 Février mais a été détecté au début du mois d’Avril. Au moins 20 différents payload ont été découvert.

Détails de l’attaque sur serveurs MS-SQL et PHPMyAdmin

L’attaque se repose sur une technique de force-brute après avoir trouvé des serveurs MS-SQL et PHPMyAdmin en utilisant un scanner de port.

Après une authentification réussie avec des privilèges d’administrateur, les hackers exécutent une séquence de commandes MS-SQL sur le système compromis pour télécharger des payload malveillants depuis un serveur de fichier distant et l’exécuter avec des privilèges SYSTEM.

En arrière plan, le payload se sert d’une vulnérabilité d’élévation de privilèges connue (CVE-2014-4113) pour obtenir des privilèges SYSTEM sur les systèmes compromis.

“En utilisant les privilèges Windows, l’exploit injecte du code dans le processus Winlogon. Le code injecté crée un nouveau processus qui hérite des privilèges SYSTEM de Winlogon.”

Le payload installe ensuite un malware de minage de cryptomonnaie sur les serveurs compromis pour miner la cryptomonnaie TurtleCoin.

“Nous avons découvert que le driver avait une signature digitale délivrée par Verisign. Le certificat – qui est expiré – porte le nom d’une fausse entreprise Chinoise – Hangzhou Hootian Network Technology.”

Les chercheurs ont aussi partagé une liste complète d’IoC (indicateurs de compromis) et un script PowerShell que les administrateurs Windows peuvent utiliser pour vérifier si leurs systèmes sont infectés ou pas.

L’attaque se repose sur la faiblesse du login et du mot de passe des serveurs MS-SQL et PHPMyAdmin. Il est donc recommander d’utiliser des mots de passe complexes.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de