Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/05/2019
La majoria dels servidors afectats per aquest nou malware es troben allotjats a la Xina, els Estats Units i l'Índia. El vector d'atac principal és mitjançant força bruta cap als serveis MS-SQL i PhpMyAdmin que es troben públicament accessibles.
Nansh0o posseeix la capacitat de realitzar una escalada de privilegis explotant la vulnerabilitat en Windows amb identificador CVE-2014-4113, la qual cosa li permet executar codi amb privilegis de SYSTEM. A més, utilitza tècniques avançades de Rootkit per a la seua ocultació i defensa, prevenint que el procés puga ser detingut mentre realitza minat de la criptomoneda TurtleCoin (TRTL).
Els investigadors han inclòs un script perquè els administradors de sistemes ho utilitzen per a escanejar els seus servidors a la recerca d'aquest malware.