Le ver Gitpaste-12 cible les serveurs Linux et les appareils IoT

Les chercheurs ont découvert un nouveau ver nommé Gitpaste-12 qui cible les serveurs x86 utilisant Linux, ainsi que les périphériques IoT Linux (utilisant des processeurs ARM et MIPS).

Il convient de noter que le logiciel malveillant utilise GitHub et Pastebin pour héberger le code malveillant et dispose d’au moins 12 modules d’attaque différents, ce qui a conduit les chercheurs à l’appeler «Gitpaste-12». Il a été détecté pour la première fois par Juniper Threat Labs le 15 octobre 2020.

« Aucun malware n’est bon à avoir, mais les vers sont particulièrement ennuyeux », ont déclaré des chercheurs de Juniper Threat Labs dans un article. «Leur capacité à se propager de manière automatisée peut conduire à une propagation latérale au sein d’une organisation ou aux hôtes qui tentent d’infecter d’autres réseaux sur Internet, ce qui se traduit par une mauvaise réputation de votre organisation.»

La première phase de l’attaque de Gitpaste-12 est le compromis initial du système. Les différents modules d’attaque du malware incluent 11 vulnérabilités précédemment révélées. Cela inclut des failles dans Apache Struts (CVE-2017-5638), les routeurs Asus (CVE-2013-5948), le plugin Webadmin pour opendreambox (CVE-2017-14135) et les routeurs Tenda (CVE-2020-10987).

Le malware Gitpaste-12 tentera d’utiliser des exploits connus pour ces failles pour compromettre les systèmes et pourrait également tenter de deviner les mots de passe par force brute, ont déclaré les chercheurs. Après avoir compromis un système, un script shell principal est ensuite téléchargé sur la machine victime et commence à télécharger et à exécuter d’autres composants de Gitpaste-12.

Le malware Gitpaste-12

Ce script configure un cron qu’il télécharge à partir de Pastebin. Un cron est un planificateur de tâches dans les systèmes d’exploitation informatiques de type Unix. Le cron appelle un script et l’exécute à nouveau chaque minute, les chercheurs pensent que ce script est vraisemblablement un mécanisme par lequel les mises à jour peuvent être transmises au botnet.

Il télécharge ensuite un script depuis GitHub (https://raw[.]githubusercontent[.]com/cnmnmsl-001/-/master/shadu1) et l’exécute. Le script contient des commentaires en chinois et dispose de plusieurs commandes disponibles pour les attaquants pour désactiver différentes capacités de sécurité. Celles-ci incluent la suppression des défenses du système, y compris les règles de pare-feu, selinux (une architecture de sécurité pour les systèmes LinuxR), apparmor (un module de sécurité du noyau Linux qui permet à l’administrateur système de restreindre les capacités des programmes), ainsi que des logiciels courants de prévention et de surveillance des attaques.

gitpaste-12

Le logiciel malveillant dispose également de commandes qui désactivent les sécurités du cloud, «ce qui indique clairement que l’individu malveillant a l’intention de cibler l’infrastructure de cloud computing publique fournie par Alibaba Cloud et Tencent», ont déclaré les chercheurs.

Gitpaste-12 propose également des commandes lui permettant d’exécuter un cryptomineur qui cible la crypto-monnaie Monero.

«Cela empêche également les administrateurs de collecter des informations sur les processus en cours d’exécution en interceptant les appels système ‘readdir ’et en ignorant les répertoires pour des processus tels que tcpdump, sudo, openssl, etc. dans ‘/ proc ’,” ont déclaré les chercheurs. «Le répertoire ‘/proc’ sous Linux contient des informations sur les processus en cours d’exécution. Il est utilisé, par exemple, par la commande «ps» pour afficher des informations sur les processus en cours d’exécution. Mais malheureusement pour cet individu malveillant, cette mise en œuvre ne fait pas ce qu’il attend d’elle. »

Enfin, le logiciel malveillant Gitpaste-12 contient également une bibliothèque (hide.so) chargée en tant que LD_PRELOAD, qui télécharge et exécute les fichiers Pastebin (https://pastebin[.]com/raw/Tg5FQHhf) qui hébergent d’autres codes malveillants.

Les chercheurs ont déclaré avoir signalé l’URL de Pastebin, ainsi que le dépôt Git mentionné ci-dessus qui télécharge des scripts malveillants pour le malware. Le repo Git a été fermé le 30 octobre 2020. «Cela devrait arrêter la prolifération de ce botnet», ont déclaré les chercheurs.

Les fonctionnalités de ver de Gitpaste-12

En termes de fonctionnalités de ver, Gitpaste-12 contient également un script qui lance des attaques contre d’autres machines, dans le but de répliquer et de propager le malware.

« Le malware choisit un CIDR aléatoire /8 pour l’attaque et essaiera toutes les adresses dans cette plage », selon les chercheurs. Le routage inter-domaines sans classe (CIDR) est une méthode d’allocation d’adresses IP et de routage IP, ce qui signifie que l’attaque cible toutes les adresses IP dans la plage CIDR aléatoire.

Une autre version du script ouvre également les ports 30004 et 30005 pour les commandes de shell inversé, ont déclaré les chercheurs. Le port 30004 utilise le protocole TCP (Transmission Control Protocol), qui est l’un des principaux protocoles des réseaux TCP/IP; tandis que le port 30005 est un protocole basé sur SOAP/HTTP, qui fournit une communication entre des périphériques tels que des routeurs ou des commutateurs réseau(switchs) et des serveurs à configuration automatique.

gitpaste-12

Les vers peuvent avoir un impact généralisé, comme le montre une campagne de 2019 qui a exploité une vulnérabilité de l’agent de transport de courrier Exim (MTA) pour obtenir une exécution de commande à distance sur les systèmes Linux des victimes, à l’aide d’un exploit de ver. Les chercheurs ont déclaré qu’actuellement, plus de 3,5 millions de serveurs étaient menacés par ces attaques.

Plusieurs nouveaux vers sont apparus en 2020 , y compris le ver Golang, qui vise à installer des cryptomineurs, et a récemment modifié sa tactique pour ajouter des attaques sur les serveurs Windows et un nouvel ensemble d’exploits dans sa trousse à outils.

En Août, un ver de cryptominage du groupe connu sous le nom de TeamTNT a été découvert en train de se propager dans le cloud Amazon Web Services (AWS) et de collecter les informations d’identification. Une fois les identifiants de connexions collectées, le malware se connecte et déploie l’outil de minage XMRig pour extraire la crypto-monnaie Monero.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x