พบการโจมตีด้วยมัลแวร์ “Nansh0u” บนเซิร์ฟเวอร์ MS-SQL กับ PHPMyAdmin

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Guardicore Labs ได้ออกมารายงานถึงการโจมตีบนเซิร์ฟเวอร์ Windows MS-SQL และ PHPMyAdmin ที่กำลังแพร่ระบาดในขณะนี้ทั่วโลก

การโจมตีด้วยมัลแวร์นี้มีชื่อเรียกว่า “Nansh0u” โดยเกิดจากกลุ่มแฮกเกอร์ชาวจีน ในตอนนี้คาดว่ามีเซิร์ฟเวอร์ที่โดนมัลแวร์นี้แล้วเกือบๆ 50,000 เซิร์ฟเวอร์

แฮกเกอร์จะทำการโจมตีโดยใช้เทคนิคแบบ brute-forcing เพื่อค้นหาเซิร์ฟเวอร์ที่เป็น Windows MS-SQL และ PHPMyAdmin ที่เป็นแบบสาธารณะสามารถเข้าถึงได้ โดยจะเข้าผ่านพอร์ตสแกนเนอร์ แฮกเกอร์จะผ่านการตรวจสอบการเข้าถึงด้วยสิทธิ์ระดับผู้ดูแลระบบ และเริ่มทำการรันโดยใช้คำสั่ง MS-SQL เพื่อทำการดาวน์โหลดไฟล์ที่เป็นอันตรายลงบนเครื่องเซิร์ฟเวอร์


ที่มาภาพ: Guardicore

และหากต้องการลบมัลแวร์ “Nansh0u” มัลแวร์ตัวนี้ยังมีระบบป้องกันการยกเลิกกระบวนการของมัน โดยใช้ digitally-signed kernel-mode rootkit อีกด้วย

ในการนี้นักวิจัยได้เผยแพร่ list of IoCs (indicators of compromise) และ สคริปต์ PowerShell-based script ฟรี เพื่อให้ผู้ดูแลระบบวินโดว์สามารถทำการตรวจสอบว่า ระบบของตนนั้นติดมัลแวร์หรือไม่

และจากการตรวจสอบของนักวิจัยพบว่าไดร์ฟเวอร์นั้นมีใบรับรองที่ออกโดย Verisign ชื่อบริษัทที่ขอใบรับรองนี้คือ Hangzhou Hootian Network Technology.แต่ใบรับรองนั้นหมดอายุไปแล้ว แถมชื่อบริษัทยังเป็นชื่อปลอมอีกด้วย

การโจมตีนี้จะทำการโจมตีผู้ใช้ที่มีบัญชีและรหัสผ่านที่เข้าถึงได้ง่ายก่อน ดังนั้น เพื่อเป็นการป้องกันควรตั้งรหัสให้คาดเดายาก รวมไปึงควรมีการแยกการใช้งานระหว่างเซิร์ฟเวอร์ที่เชื่อมต่ออินเตอร์เนต กับเซิร์ฟเวอร์ที่เชื่อมต่อภายในองค์กร จำกัดขอบเขตการเข้าถึงเพื่อเป็นการป้องกันการโจมตีอีกทางหนึ่ง

ที่มา The Hacker News, Guardicore