Le ver de cryptominage Golang s’offre un boost de vitesse

0

Une variante fraîchement découverte du crypto-ver Golang a récemment été repérée en train de déposer un malware de minage Monero sur les machines victimes ; dans ce changement de tactique, les binaires de charge utile sont capables d’accélérer le processus d’extraction de 15%, ont déclaré les chercheurs.

Selon les recherches d’Uptycs, le ver recherche et exploite diverses vulnérabilités connues dans les serveurs Web populaires basés sur Unix et Linux, notamment CVE-2020-14882 dans Oracle WebLogic Server et CVE-2017-11610, une exécution de code à distance qui affecte les serveurs XML-RPC. XML-RPC est une interface fournie par WordPress.

« CVE-2020-14882 [est une] vulnérabilité de cheminement classique utilisée pour exploiter des serveurs logiques Web vulnérables », selon Uptycs. « Il semblait que l’attaquant tentait de contourner le mécanisme d’autorisation en modifiant l’URL et en effectuant une traversée de chemin à l’aide d’un double encodage sur /console/images. »

L’exploit de CVE-2017-11610 contient quant à lui une charge utile codée dans l’un des paramètres, ont ajouté les chercheurs.

Chaîne de destruction d’attaque de cryptominage de Golang

Après l’exploitation initiale, l’attaque commence par un script shell qui télécharge le ver à l’aide de l’utilitaire curl, ont noté les chercheurs, ajoutant que le script utilise plusieurs techniques d’évasion de défense comme la modification du pare-feu et la désactivation des agents de surveillance.

Ce script initial télécharge ensuite l’échantillon de ver de première étape, qui a été compilé en Golang (d’où son nom) et UPX, a noté le rapport. Le ver utilise le package go-bindata pour intégrer le cryptomineur XMRig standard à l’intérieur de lui-même.

Une fois installé, le ver télécharge un autre script shell qui télécharge une copie du même ver Golang. Il continue à écrire plusieurs copies de lui-même dans divers répertoires sensibles tels que /boot,/efi,/grub.

Après cela, il installe finalement le XMRig dans un emplacement /tmp et utilise une commande codée en base64 qui télécharge le script shell sur tout autre serveur vulnérable distant à partir du C2.

Miner du Monero avec un gain d’efficacité

XMRig est un cryptomineur bien connu pour la crypto-monnaie Monero, qui est utilisée comme charge utile par le ver depuis un certain temps. Dans cette dernière campagne cependant, les binaires ont été modifiés pour améliorer l’efficacité, selon le rapport d’Uptycs.

Plus précisément, les différentes variantes de logiciels malveillants utilisent le pilote Model Specific Register (MSR) pour désactiver les préchargeurs matériels. Les MSR des serveurs Unix et Linux sont utilisés pour le débogage, la journalisation, etc.

« Le préchargement matériel est une technique dans laquelle les processeurs prélèvent des données en fonction du comportement d’accès passé par le cœur », ont expliqué les chercheurs d’Uptycs. « Le processeur (ou le CPU), en utilisant le préchargeur matériel, stocke les instructions de la mémoire principale dans le cache L2. Cependant, sur les processeurs multicœurs, l’utilisation d’une prélecture matérielle agressive entraîne des entraves et entraîne une dégradation globale des performances du système. »

Cette dégradation des performances est un problème pour XMRig, qui exploite la puissance de traitement d’une machine pour effectuer les calculs complexes à l’échelle nécessaires pour gagner des pièces Monero.

Pour éviter cela, les binaires de cryptomining repérés par Uptycs utilisent des registres MSR pour basculer certaines fonctionnalités du processeur et la surveillance des performances de l’ordinateur. En manipulant les registres MSR, les préchargeurs matériels peuvent être désactivés, ont expliqué les chercheurs.

« Selon la documentation de XMRig, la désactivation du préchargeur matériel augmente la vitesse jusqu’à 15% », ont déclaré les chercheurs.

Cependant, cette fonction présente un risque accru pour les entreprises, ont averti les chercheurs : « Parallèlement au processus d’extraction, la modification des registres MSR peut entraîner des problèmes de performance fatals des ressources de l’entreprise », selon l’analyse.

Au total, l’équipe d’Uptycs a identifié sept échantillons similaires du cryptominer Golang, à partir de Juin.

« Avec l’augmentation et la valorisation vertigineuse du Bitcoin et de plusieurs autres crypto-monnaies, les attaques basées sur le cryptomining ont continué de dominer le paysage des menaces », ont conclu les chercheurs. « Les attaques de cryptomineurs parasités ont un seuil plus élevé car elles écrivent plusieurs copies et se propagent également sur les points de terminaison d’un réseau d’entreprise. »

Pour éviter de devenir une victime, maintenez vos systèmes à jour appliquer les correctifs pour contrecarrer cette attaque particulière, car elle commence par des exploitations de bogues.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire