《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Golang加密蠕蟲病毒感染能力提升

Golang加密蠕蟲病毒感染能力提升

2021-08-21
來源:嘶吼專業(yè)版
關(guān)鍵詞: Golang 加密蠕蟲

  研究人員說,最近發(fā)現(xiàn)了Golang加密蠕蟲的一個(gè)新變種在受害者機(jī)器上投放Monero挖掘惡意軟件,在此次攻擊的方式中,有效載荷文件能夠?qū)⑼诰虻男侍嵘?5%。

  根據(jù)Uptycs的研究,該蠕蟲病毒掃描并利用了流行的基于Unix和Linux的網(wǎng)絡(luò)服務(wù)器的各種已知漏洞,包括Oracle WebLogic服務(wù)器的CVE-2020-14882,以及一個(gè)被稱為CVE-2017-11610的影響XML-RPC服務(wù)器的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。XML-RPC是WordPress提供的一個(gè)接口。

  CVE-2020-14882是一個(gè)典型的路徑遍歷漏洞,該漏洞可以用于攻擊網(wǎng)絡(luò)邏輯服務(wù)器,而且攻擊者試圖通過改變URL和在/console/images上使用雙重編碼來繞過授權(quán)機(jī)制進(jìn)行路徑遍歷。

  研究人員補(bǔ)充說,CVE-2017-11610的漏洞同時(shí)在其中一個(gè)參數(shù)中包含了一個(gè)編碼的有效載荷。

  Golang加密攻擊的殺傷鏈

  研究人員指出,在初始漏洞利用之后,攻擊者會(huì)先使用一個(gè)curl工具來下載蠕蟲的shell腳本,并補(bǔ)充說該腳本使用了一些防御規(guī)避技術(shù),如改變防火墻和禁用監(jiān)控代理。

  報(bào)告指出,該初始腳本隨后會(huì)下載了第一階段的蠕蟲樣本,該樣本是用Golang(因此而得名)編譯的,并進(jìn)行了UPX打包。該蠕蟲病毒使用go-bindata軟件包,將現(xiàn)成的XMRig加密器嵌入到軟件中。

  一旦安裝,該蠕蟲就會(huì)下載另一個(gè)shell腳本,該腳本會(huì)下載同一個(gè)Golang蠕蟲的副本。它會(huì)繼續(xù)將自己的多個(gè)副本寫入到各種敏感目錄中,如/boot、/efi、/grub。

  之后,它最終會(huì)將XMRig安裝到/tmp位置,并使用一個(gè)base64編碼的命令,從C2下載任何其他遠(yuǎn)程服務(wù)器上的shell腳本。

  提高效率的挖礦技術(shù)

  XMRig是一個(gè)著名的Monero加密貨幣的加密器,該蠕蟲作為有效載荷已經(jīng)使用了一段時(shí)間。然而,根據(jù)Uptycs周四發(fā)布的報(bào)告,在最新的攻擊活動(dòng)中,病毒文件已經(jīng)被優(yōu)化,提高了感染效率。

  具體來說,各種惡意軟件的變種會(huì)使用特定型號(hào)的寄存器(MSR)驅(qū)動(dòng)程序來禁用硬件預(yù)取器。Unix和Linux服務(wù)器中的MSR具有調(diào)試、記錄信息等功能。

  Uptycs研究人員解釋說:“硬件預(yù)取器是一種新的技術(shù),處理器會(huì)根據(jù)內(nèi)核過去的訪問行為來預(yù)取數(shù)據(jù),處理器(CPU)通過使用硬件預(yù)取器,將指令從主內(nèi)存存儲(chǔ)到二級(jí)緩存中。然而,在多核處理器上,使用硬件預(yù)取會(huì)造成功能受損,并導(dǎo)致系統(tǒng)性能整體下降”。

  這種性能的下降對(duì)XMRig來說是個(gè)很大的問題,因?yàn)樗枰脵C(jī)器的處理能力來進(jìn)行賺取Monero幣。

  為了防止這種情況,Uptycs發(fā)現(xiàn)的加密二進(jìn)制文件使用了MSR寄存器來切換某些CPU功能和計(jì)算機(jī)性能監(jiān)控功能。研究人員解釋說,通過操縱MSR寄存器,硬件預(yù)取器可以被禁用。

  研究人員說:“根據(jù)XMRig的文檔,禁用硬件預(yù)取器可將速度提高到15%”。

  然而,研究人員警告說,這一功能會(huì)給企業(yè)帶來更大的風(fēng)險(xiǎn)。根據(jù)分析,在挖礦的過程中,對(duì)MSR寄存器的修改可能會(huì)導(dǎo)致企業(yè)資源的性能出現(xiàn)下降。

  從6月開始,Uptycs團(tuán)隊(duì)總共發(fā)現(xiàn)了七個(gè)類似的Golang蠕蟲加密器的樣本。

  研究人員總結(jié)說:“隨著比特幣和其他幾種加密貨幣的興起和越來越高的估值,基于加密貨幣的攻擊會(huì)繼續(xù)在攻擊威脅領(lǐng)域占據(jù)主導(dǎo)地位,蠕蟲式的加密貨幣攻擊具有很高的門檻,因?yàn)樗鼈儠?huì)寫入多個(gè)副本,而且也會(huì)在企業(yè)網(wǎng)絡(luò)的端點(diǎn)上進(jìn)行傳播。”

  為了避免計(jì)算機(jī)被攻擊,我們需要保持系統(tǒng)的更新和打補(bǔ)丁來預(yù)防這種特殊的攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。