信息化觀察網(wǎng)

研究人員說，最近發(fā)現(xiàn)了Golang加密蠕蟲的一個新變種在受害者機器上投放Monero挖掘惡意軟件，在此次攻擊的方式中，有效載荷文件能夠?qū)⑼诰虻男侍嵘?5%。

根據(jù)Uptycs的研究，該蠕蟲病毒掃描并利用了流行的基于Unix和Linux的網(wǎng)絡(luò)服務(wù)器的各種已知漏洞，包括Oracle WebLogic服務(wù)器的CVE-2020-14882，以及一個被稱為CVE-2017-11610的影響XML-RPC服務(wù)器的遠程代碼執(zhí)行（RCE）漏洞。XML-RPC是WordPress提供的一個接口。

CVE-2020-14882是一個典型的路徑遍歷漏洞，該漏洞可以用于攻擊網(wǎng)絡(luò)邏輯服務(wù)器，而且攻擊者試圖通過改變URL和在/console/images上使用雙重編碼來繞過授權(quán)機制進行路徑遍歷。

研究人員補充說，CVE-2017-11610的漏洞同時在其中一個參數(shù)中包含了一個編碼的有效載荷。

Golang加密攻擊的殺傷鏈

研究人員指出，在初始漏洞利用之后，攻擊者會先使用一個curl工具來下載蠕蟲的shell腳本，并補充說該腳本使用了一些防御規(guī)避技術(shù)，如改變防火墻和禁用監(jiān)控代理。

報告指出，該初始腳本隨后會下載了第一階段的蠕蟲樣本，該樣本是用Golang（因此而得名）編譯的，并進行了UPX打包。該蠕蟲病毒使用go-bindata軟件包，將現(xiàn)成的XMRig加密器嵌入到軟件中。

一旦安裝，該蠕蟲就會下載另一個shell腳本，該腳本會下載同一個Golang蠕蟲的副本。它會繼續(xù)將自己的多個副本寫入到各種敏感目錄中，如/boot、/efi、/grub。

之后，它最終會將XMRig安裝到/tmp位置，并使用一個base64編碼的命令，從C2下載任何其他遠程服務(wù)器上的shell腳本。

提高效率的挖礦技術(shù)

XMRig是一個著名的Monero加密貨幣的加密器，該蠕蟲作為有效載荷已經(jīng)使用了一段時間。然而，根據(jù)Uptycs周四發(fā)布的報告，在最新的攻擊活動中，病毒文件已經(jīng)被優(yōu)化，提高了感染效率。

具體來說，各種惡意軟件的變種會使用特定型號的寄存器（MSR）驅(qū)動程序來禁用硬件預(yù)取器。Unix和Linux服務(wù)器中的MSR具有調(diào)試、記錄信息等功能。

Uptycs研究人員解釋說："硬件預(yù)取器是一種新的技術(shù)，處理器會根據(jù)內(nèi)核過去的訪問行為來預(yù)取數(shù)據(jù)，處理器（CPU）通過使用硬件預(yù)取器，將指令從主內(nèi)存存儲到二級緩存中。然而，在多核處理器上，使用硬件預(yù)取會造成功能受損，并導(dǎo)致系統(tǒng)性能整體下降"。

這種性能的下降對XMRig來說是個很大的問題，因為它需要利用機器的處理能力來進行賺取Monero幣。

為了防止這種情況，Uptycs發(fā)現(xiàn)的加密二進制文件使用了MSR寄存器來切換某些CPU功能和計算機性能監(jiān)控功能。研究人員解釋說，通過操縱MSR寄存器，硬件預(yù)取器可以被禁用。

研究人員說："根據(jù)XMRig的文檔，禁用硬件預(yù)取器可將速度提高到15%"。

然而，研究人員警告說，這一功能會給企業(yè)帶來更大的風(fēng)險。根據(jù)分析，在挖礦的過程中，對MSR寄存器的修改可能會導(dǎo)致企業(yè)資源的性能出現(xiàn)下降。

從6月開始，Uptycs團隊總共發(fā)現(xiàn)了七個類似的Golang蠕蟲加密器的樣本。

研究人員總結(jié)說："隨著比特幣和其他幾種加密貨幣的興起和越來越高的估值，基于加密貨幣的攻擊會繼續(xù)在攻擊威脅領(lǐng)域占據(jù)主導(dǎo)地位，蠕蟲式的加密貨幣攻擊具有很高的門檻，因為它們會寫入多個副本，而且也會在企業(yè)網(wǎng)絡(luò)的端點上進行傳播。"

為了避免計算機被攻擊，我們需要保持系統(tǒng)的更新和打補丁來預(yù)防這種特殊的攻擊。

本文翻譯自：https://threatpost.com/golang-cryptomining-worm-speed-boost/168456/