Golang加密蠕蟲病毒感染能力提升
作者:~陽光~|來源:嘶吼網|2021-08-17
研究人員(yuán)說,最近發現(xiàn)了Golang加密蠕蟲的一個新變種在受害者機器上投放(fàng)Monero挖掘惡意軟件,在此次攻擊的方式中,有效載荷文件能夠将挖掘的效率提升15%。
根據Uptycs的研究,該蠕蟲病毒掃描并利用了流行的基于Unix和Linux的網絡服務器的各種已知(zhī)漏洞,包括Oracle WebLogic服務器的CVE-2020-14882,以及一個被稱爲CVE-2017-11610的影響XML-RPC服務器的遠程代碼執行(RCE)漏洞。XML-RPC是(shì)WordPress提供的一個接口。
CVE-2020-14882是(shì)一個典型的路徑遍曆漏洞,該漏洞可以用于攻擊網絡邏輯服務器,而且攻擊者試圖通過改變URL和在/console/images上使用雙重編碼來繞過授權機制進行路徑遍曆。
研究人員(yuán)補充說,CVE-2017-11610的漏洞同時在其中一個參數中包含了一個編碼的有效載荷。
Golang加密攻擊的殺傷鏈
研究人員(yuán)指出,在初始漏洞利用之後,攻擊者會先使用一個curl工具來下(xià)載蠕蟲的shell腳本,并補充說該腳本使用了一些防禦規避技術,如改變防火(huǒ)牆和禁用監控代理。
報告指出,該初始腳本随後會下(xià)載了第一階段的蠕蟲樣本,該樣本是(shì)用Golang(因此而得名)編譯的,并進行了UPX打包。該蠕蟲病毒使用go-bindata軟件包,将現(xiàn)成的XMRig加密器嵌入到軟件中。
一旦安裝,該蠕蟲就會下(xià)載另一個shell腳本,該腳本會下(xià)載同一個Golang蠕蟲的副本。它會繼續将自己的多個副本寫入到各種敏感目錄中,如/boot、/efi、/grub。
之後,它最終會将XMRig安裝到/tmp位置,并使用一個base64編碼的命令,從C2下(xià)載任何其他遠程服務器上的shell腳本。
提高效率的挖礦技術
XMRig是(shì)一個著名的Monero加密貨币的加密器,該蠕蟲作爲有效載荷已經使用了一段時間。然而,根據Uptycs周四發布的報告,在最新的攻擊活動中,病毒文件已經被優化,提高了感染效率。
具體來說,各種惡意軟件的變種會使用特定型号的寄存器(MSR)驅動程序來禁用硬件預取器。Unix和Linux服務器中的MSR具有調試、記錄信息等功能。
Uptycs研究人員(yuán)解釋說:"硬件預取器是(shì)一種新的技術,處理器會根據内核過去(qù)的訪問行爲來預取數據,處理器(CPU)通過使用硬件預取器,将指令從主内存存儲到二級緩存中。然而,在多核處理器上,使用硬件預取會造成功能受損,并導緻系統性能整體下(xià)降"。
這種性能的下(xià)降對XMRig來說是(shì)個很大的問題,因爲它需要利用機器的處理能力來進行賺取Monero币。
爲了防止這種情況,Uptycs發現(xiàn)的加密二進制文件使用了MSR寄存器來切換某些CPU功能和計算機性能監控功能。研究人員(yuán)解釋說,通過操縱MSR寄存器,硬件預取器可以被禁用。
研究人員(yuán)說:"根據XMRig的文檔,禁用硬件預取器可将速度提高到15%"。
然而,研究人員(yuán)警告說,這一功能會給企業帶來更大的風險。根據分析,在挖礦的過程中,對MSR寄存器的修改可能會導緻企業資源的性能出現(xiàn)下(xià)降。
從6月開始,Uptycs團隊總共發現(xiàn)了七個類似的Golang蠕蟲加密器的樣本。
研究人員(yuán)總結說:"随着比特币和其他幾種加密貨币的興起和越來越高的估值,基于加密貨币的攻擊會繼續在攻擊威脅領域占據主導地位,蠕蟲式的加密貨币攻擊具有很高的門檻,因爲它們會寫入多個副本,而且也會在企業網絡的端點上進行傳播。"
爲了避免計算機被攻擊,我們需要保持系統的更新和打補丁來預防這種特殊的攻擊。
本文翻譯自:https://threatpost.com/golang-cryptomining-worm-speed-boost/168456/如若轉載,請注明原文地址。