THT DUYURU

Güvenlik Haberleri Bilgisayar güvenliği ile ilgili konularda tartışmayı kolaylaştırarak, bilgisayar güvenliği bilincini oluşturmak amacıyla oluşturduğumuz güvenlik haber bölümümüz.

Seçenekler

Hacker'lar Rootkit Malware ile 50.000 MS-SQL ve PHPMyAdmin Sunucularına Bulaştı./TEGUARDİAN

teguardian - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2019
Mesajlar:
590
Konular:
19
Teşekkür (Etti):
82
Teşekkür (Aldı):
118
Ticaret:
(0) %
30-05-2019 14:12
#1
Hacker'lar Rootkit Malware ile 50.000 MS-SQL ve PHPMyAdmin Sunucularına Bulaştı./TEGUARDİAN


Guardicore Labs'daki Siber Güvenlik araştırmacıları bugün, dünya çapında Windows MS-SQL ve PHPMyAdmin sunucularına saldıran ortak bir şifreleme kampanyası hakkında ayrıntılı bir rapor yayınladı.


Nansh0u olarak adlandırılan kötü niyetli kampanyanın, yaklaşık 50.000 sunucuya virüs bulaşmış olan ve kötü niyetli yazılımın sonlandırılmasını önlemek için tehlikeye atılmış sistemlere karışık bir kernel mod rootkit yükleyen APT tarzı bir Çinli hack grubu tarafından gerçekleştirildiği bildiriliyor.

26 Şubat'a dayanan, ancak ilk nisan ayının başında tespit edilen kampanyanın, çeşitli hostinglerde barındırılan 20 farklı sürümü bulundu.

Saldırı basit bir port tarayıcı kullanarak herkes tarafından erişilebilir Windows MS-SQL ve PHPMyAdmin sunucularını bulduktan sonra brute-force tekniğine dayanır.


Yönetici ayrıcalıklarına sahip başarılı bir oturum açmasının ardından saldırganlar,uzak bir dosya sunucusundan kötü niyetli payload yüklemek ve SYSTEM ayrıcalıklarıyla çalıştırmak için tehlike altındaki sistemde bir dizi MS-SQL komutu yürütür.


Arka planda, veri payloadı tehlikeye giren sistemlerde SYSTEM ayrıcalıkları elde etmek için bilinen bir ayrıcalık artırma güvenlik açığı (CVE-2014-4113) kullanıyor.



"Bu Windows ayrıcalığını kullanarak,saldırangan, Winlogon işlemine kod enjekte ediyor. Enjekte edilen kod, önceki sürümle eşdeğer izinler sağlayan Winlogon SYSTEM ayrıcalıklarını devralan yeni bir işlem yaratıyor."

Yanı sıra kötü niyetli yazılım, süreçlerini devam ettirmek için dijital imzalı bir kernel-mode rootkit kullanarak sonlandırmaktan korur.

"Driverın, en üst Sertifika Yetkilisi Verisign tarafından verilen dijital bir imzası olduğunu tespit ettik. Süresi dolmuş olan sertifika, sahte bir Çinli şirketin adı olan Hangzhou Hootian Network Technology adını taşıyor."



Araştırmacılar ayrıca, Windows yöneticilerinin sistemlerine virüs bulaşıp bulaşmadığını kontrol etmek için kullanabilecekleri tamamen bir IoC listesi (uzlaşma göstergeleri) ve ücretsiz bir PowerShell tabanlı komut dosyası yayınladı.

Saldırı, MS-SQL ve PHPMyAdmin sunucuları için zayıf bir kullanıcı adı ve şifre kombinasyonuna dayandığından, yöneticilerin hesapları için her zaman güçlü ve karmaşık bir şifre koymaları önerilir.


KAYNAK:https://thehackernews.com/2019/05/ha...hpmyadmin.html
---------------------
“Bu Ülkeye 5 kuruş katkın yoksa 10 kuruşluk zarar Verme!”
Bir Hacker.

Eski Sosyal Medya Yöneticisi
yusufblc1 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler