研究人员表示,最近发现了一种新的Golang加密蠕虫变种,可以在受害者机器上投放Monero挖矿恶意软件。效率提高了15%。根据Uptycs的研究,该蠕虫扫描并利用流行的基于Unix和Linux的Web服务器中的各种已知漏洞,包括针对OracleWebLogicServer的CVE-2020-14882,以及一个名为CVE-2017-11610的远程代码影响XML-RPC服务器的执行(RCE)漏洞。XML-RPC是WordPress提供的接口。CVE-2020-14882是一个典型的路径遍历漏洞,可用于攻击网络逻辑服务器,攻击者试图通过更改URL和对/console/images进行双重编码来绕过路径遍历的授权机制。研究人员补充说,CVE-2017-11610的利用还在其参数之一中包含一个编码的有效载荷。Golang加密攻击KillChain研究人员指出,在最初的利用之后,攻击者首先会使用curl工具下载蠕虫的shell脚本,并补充说该脚本使用了一些防御规避技术,例如改变防火墙和禁用监控代理。报告指出,初始脚本随后下载了一个用Golang(因此得名)编译并打包在UPX中的第一阶段蠕虫样本。该蠕虫使用go-bindata包将现成的XMRig加密器嵌入到软件中。安装后,蠕虫会下载另一个shell脚本,该脚本会下载同一个Golang蠕虫的副本。它继续将自身的多个副本写入各种敏感目录,如/boot、/efi、/grub。之后,它最终会将XMRig安装到/tmp位置,并使用base64编码的命令从C2下载远程服务器上的任何其他shell脚本。提高效率的挖掘技术XMRig是著名的Monero加密货币的加密器,这种蠕虫已被用作有效载荷一段时间了。然而,根据Uptycs周四发布的一份报告,在最新的攻击活动中,病毒文件已经过优化以提高感染效率。具体来说,各种恶意软件变体使用特定于模型的寄存器(MSR)驱动程序来禁用硬件预取器。Unix和Linux服务器中的MSR具有调试、记录信息等功能。Uptycs研究人员解释说:“硬件预取器是一项新技术,处理器会根据内核过去的访问行为来预取数据。处理器(CPU)使用硬件预取器将指令从主内存存储到二级缓存中。但是,在多核处理器上,使用硬件预取会在功能上受损,并导致系统性能整体下降。”这种性能下降对XMRig来说是个大问题,因为它需要利用机器的处理能力来赚取门罗币。为防止这种情况,Uptycs发现的加密二进制文件使用MSR寄存器来切换某些CPU功能和计算机性能监控功能。研究人员解释说,通过操纵MSR寄存器,可以禁用硬件预取器。“根据XMRig的文档,禁用硬件预取器可将速度提高15%,”研究人员说。但是,研究人员警告说,此功能会给企业带来更大的风险。据分析,在挖矿过程中,修改MSR寄存器可能会导致企业资源性能下降。自6月以来,Uptycs团队共发现了7个类似Golang蠕虫加密器的样本。研究人员总结道:“随着比特币和其他几种加密货币的上涨和估值的提高,基于加密货币的攻击将继续主导攻击威胁领域,而蠕虫类加密货币攻击具有巨大的潜力。”高门槛,因为它们被写入多个副本并传播到公司网络中的端点。“为了保护计算机免受攻击,我们需要保持系统更新和打补丁以防止这种特殊攻击。本文翻译自:https://threatpost.com/golang-cryptomining-worm-speed-boost/168456/如有转载请注明出处。
