近日,研究人员发现了一种新型Golang恶意软件,用于植入门罗币挖矿程序,攻击者可通过定制修改将挖矿速度提升15%。Uptycs表示,该恶意软件利用各种已知漏洞来攻击Web服务器,例如针对OracleWebLogic的CVE-2020-14882、针对WordPressXML-RPC的CVE-2017-11610等。“CVE-2020-14882是一个经典的路径遍历漏洞,”Uptycs的安全研究人员说。“攻击者似乎试图通过更改URL并在/console/images上使用双重编码执行路径遍历来绕过授权机制。”攻击者在利用CVE-2017-11610时,会在其中一个参数中携带Payload。攻击链拉取Golang恶意软件shell脚本:利用漏洞扫描攻击:持久化并下载挖矿程序:禁用硬件预读器:提高挖矿效率攻击者修改XMRig代码使用模型专用寄存器(MSR)驱动程序禁用硬件预读器,在Unix和Linux服务器中用于调试、日志记录等。“硬件预取器是一种处理器根据内核过去的访问行为提前读取数据的技术”,“该处理器使用硬件预取器将存储在主内存中的指令存储到二级缓存中。然而,在多核处理器中,另一方面,使用激进的硬件预读会导致系统性能整体下降。性能下降是攻击者试图避免的事情,并且攻击者已经开始尝试操纵MSR寄存器来禁用硬件预读器。根据XMRig的文档,这可以提高大约15%的速度。从6月开始,Uptycs的分析团队发现了7个使用类似技术的恶意样本。为避免成为受害者,我们应该使用安全补丁更新我们的系统。这将为这种类型的攻击提供最大的防御,毕竟这种攻击是从漏洞利用开始的。
