黑客用Rootkit恶意软件感染50000台MS-SQL和PHPMyAdmin服务器

配音南沙湖据报道，这场恶意攻击是由一个APT风格的中国黑客组织实施的，该组织已经感染了近50000台服务器，并正在受损系统上安装一个复杂的内核模式rootkit，以防止恶意软件被终止。

这项活动可以追溯到2月26日，但在4月初首次被发现，它提供了20个不同的有效负载版本，托管在不同的托管提供商上。

在使用简单的端口扫描程序找到可公开访问的Windows MS-SQL和PHPMyAdmin服务器后，攻击依赖暴力强制技术。

成功使用管理权限登录验证后，攻击者会在受损系统上执行一系列MS-SQL命令，从远程文件服务器下载恶意负载，并以系统权限运行。

在后台，有效负载利用已知的权限提升漏洞（CVE-2014-4113）在受损系统上获得系统权限。

“使用此Windows权限，攻击漏洞会将代码注入Winlogon进程。注入的代码会创建一个新进程，该进程继承Winlogon系统权限，提供与以前版本相同的权限”。

然后，有效载荷在受损服务器上安装加密货币挖掘恶意软件进行挖掘高领币数字加密货币。

除此之外，恶意软件还使用数字签名的内核模式rootkit进行持久性保护，防止进程终止。

“我们发现该司机有一个由顶级证书颁发机构Verisign颁发的数字签名。该证书，已过期，带有一家假冒的中国公司的名称，杭州和田网络科技有限公司”。

研究人员还发布了一份完整的IOC列表（折衷指标）和一个免费的基于PowerShell的脚本，Windows管理员可以用它来检查他们的系统是否受到感染。

由于攻击依赖MS-SQL和PHPMyAdmin服务器的弱用户名和密码组合，因此建议管理员始终为其帐户保留强而复杂的密码。