Focus sur les menaces : une nouvelle variante du malware de cryptominage
Une nouvelle variante du malware de cryptominage connu sous le nom de Golang cible désormais les machines Windows et Linux. Bien que le volume d'attaques soit faible en raison de la nouveauté de la variante, les chercheurs de Barracuda ont vu sept adresses IP sources liées à ce malware jusqu'à présent, toutes basées en Chine. Plutôt que de cibler les utilisateurs finaux, ce nouveau malware s'attaque aux serveurs.
Intéressons-nous plus en détail à cette menace toujours plus présente, et découvrons les solutions qui vous aideront à la détecter, la bloquer et à réparer ses éventuels dégâts.
Menaces particulièrement importantes
Nouvelle variante du malware « Golang » — Ce nouveau type de malware attaque les infrastructures applicatives Web, les serveurs d'applications et les services non-HTTP tels que Redis et MSSQL. Son objectif principal est de miner la cryptomonnaie Monero à l'aide de XMRig, un cryptomineur réputé. Golang se propage alors rapidement, recherchant et infectant d'autres appareils vulnérables.
Les premières versions de ce malware ciblaient uniquement les machines Linux. Cette nouvelle version, elle, attaque également les machines Windows et utilise un tout nouvel ensemble d'exploits. Certains exploits ciblent par exemple l'infrastructure applicative Web ThinkPHP, très populaire en Chine. À l'image des autres familles de malwares, il ne fait aucun doute que Golang n'aura de cesse d'évoluer, employant toujours plus d'exploits.
Les détails
Dès que le malware parvient à infecter une machine, ce dernier télécharge les fichiers suivants, personnalisés en fonction de la plateforme ciblée. Les attaques suivent un procédé identique, comprenant la dépose d'une charge utile initiale, un script mis à jour, un mineur, un watchdog (programme systémique de vérification), un scanner et un fichier de configuration pour le cryptomineur. Dans le cas d'une machine Windows, le malware ajoute également un backdoor.
| Linux | Windows | Description |
| init.sh 4cc8f97c2bf9cbabb2c2be292886212a | init.ps1 ebd05594214f16529badf5e7033054aa | Le script d'initialisation s'exécute en tant que charge utile initiale. |
| update.sh 4cc8f97c2bf9cbabb2c2be292886212a | update.ps1 ebd05594214f16529badf5e7033054aa | Identique au script d'initialisation, le script de mise à jour s'exécute en tant que tâche programmée. |
| Sysupdate 149c79bf71a54ec41f6793819682f790 | sysupdate.exe 97f3dab8aa665aac5200485fc23b9248 | Le cryptomineur s'appuie sur XMRig, un script de minage open source réputé. |
| Sysguard c31038f977f766eeba8415f3ba2c242c | sysgurard.exe ba7fe28ec83a784b1a5437094c63182e | Le watchdog s'assure que le scanner et le mineur sont fonctionnels et que tous les composants sont à jour. |
| networkservice 8e9957b496a745f5db09b0f963eba74e | networkservice.exe a37759e4dd1be906b1d9c75da95d31a2 | Le scanner recherche sur Internet des machines vulnérables et les infecte via le malware. |
| S/O | clean.bat bfd3b369e0b6853ae6d229b1aed410a8 | Utilisé uniquement sur des machines Windows, ce script ajoute au système un backdoor. |
| config.json c8325863c6ba60d62729decdde95c6fb | config.json c8325863c6ba60d62729decdde95c6fb | Cet élément correspond au fichier de configuration du cryptomineur. |
Scripts d'initialisation/de mise à jour
Les scripts d'initialisation et de mise à jour partagent le même contenu sur chaque plateforme. Ils sont utilisés aussi bien pour installer un malware que pour mettre à jour ses composants. Le script d'initialisation s'exécutera en tant que charge utile initiale ; le script de mise à jour, lui, s'exécutera en tant que tâche programmée (cron dans Linux).
Le script d'initialisation dédié aux machines Linux est agressif : il supprime en effet tous les malwares et mineurs concurrents, il bloque les ports, ajoute des clés en backdoor et désactive le module SELinux. Le script d'initialisation dédié aux machines Windows exécute plusieurs étapes fondamentales, bien moins sophistiquées que celles mises en place par le script d'initialisation pour Linux. Ce script n'a pas été détecté dans les précédentes versions du malware, c'est pourquoi les chercheurs pensent que le logiciel cible désormais les serveurs Windows.
Mineur - sysupdate/sysupadte.exe
Le cryptomineur s'appuie sur XMRig, un script de minage open source réputé. Son fichier de configuration est le fichier config.json.
Watchdog – sysguard/sysgurad.exe
Le watchdog s'assure que le scanner et le mineur sont fonctionnels et que tous les composants sont à jour. S'il ne parvient pas à se connecter au serveur de commande et contrôle, il tentera de récupérer l'adresse du nouveau serveur en analysant les transactions sur un compte Ethereum dédié.
Le watchdog est écrit en Go (extrait et compressé à l'aide d'UPX).
Fichier backdoor – Clean.bat
Utilisé uniquement sur des machines Windows, ce script ajoutera simplement au système un autre utilisateur. Les scripts d'initialisation et de mise à jour pour les systèmes Linux effectuent une étape similaire en ajoutant au système une clé SSH autorisée.
Scanner - networkservice/networkservice.exe
Basé sur le langage de programmation Go (extrait et compressé à l'aide d'UPX), le scanner va propager le malware en analysant les réseaux à la recherche de machines vulnérables, puis en les infectant. Le scanner va simplement générer une adresse IP de manière aléatoire (en évitant les formats 127.x.x.x, 10.x.x.x et 172.x.x.x) et tentera de lancer une attaque sur la machine correspondante.
Après une attaque réussie, le scanner va envoyer un rapport au serveur de commande et contrôle, de type hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess// type>.
Un rapport de progression sera également envoyé au serveur de commande et contrôle, de type hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/ count>
Les exploits réalisés par la nouvelle variante du cryptomineur
| Distributeur | PORTS | CVE | Description |
| Oracle WebLogic | 7001/7002 | CVE-2017-10271 | Le malware tentera d'exploiter l'entrée CVE-2017-10271 et de déposer des charges sur les machines Windows et Linux. |
| ElasticSearch | 9200 | CVE-2015-1427 CVE-2014-3120 | Le malware tentera d'exploiter les entrées CVE-2015-1427 et CVE-2014-3120 et de déposer une charge sur les machines Linux. |
| Drupal | S/O | CVE-2018-7600 | Bien que visible dans le code, cette exploitation semble désactivée. Elle utilise l'entrée CVE-2018-7600 et dépose une charge sur les machines Linux. |
| ThinkPHP | 80/8080 | CVE-2018-20062, N/A | Le malware tentera d'exploiter deux failles du framework ThinkPHP et de déposer des charges sur les machines Windows et Linux. |
| Hadoop | 8088 | S/O | En exploitant cette faille, le malware déposera une charge sur les machines Linux. |
| Redis | 6379/6380 | S/O | Il tentera dans un premier temps de récupérer les identifiants si nécessaire (attaque par dictionnaire). Si la tentative réussit, le malware procèdera au stockage du fichier .db au sein du chemin cron pour parvenir à intégrer et exécuter un code à distance. |
| MSSQL | 1433 | S/O | Le malware tentera dans un premier temps de récupérer les identifiants (attaque par dictionnaire) du serveur MSSQL. Si la tentative réussit, une charge sera déposée sur les machines Windows. |
| Appareils IoT | S/O | S/O | Bien que visible dans le code, cette exploitation semble désactivée. Ce dernier cible les appareils IoT (CCTV). |
Se protéger contre ces attaques
Certaines des mesures que nous allons vous présenter sont importantes et pourront vous aider à vous protéger contre cette nouvelle variante.
Web Application Firewall— Assurez-vous d'avoir configuré votre Web Application Firewall de manière adéquate. Cette variante se propage en recherchant sur Internet des machines vulnérables. Nombreuses sont les entreprises qui négligent la sécurité de leurs applications ; toutefois, cette dernière demeure l'un des principaux vecteurs de menace exploités par les cybercriminels.
Tenez-vous informé(e) des nouveaux correctifs— Comme le montre ce malware, la stratégie d'un cybercriminel est simple : rechercher des vulnérabilités à exploiter. En demeurant au fait des nouvelles mises à jour et des correctifs de sécurité disponibles, vous contribuerez à protéger votre entreprise contre ces menaces.
Surveiller les systèmes pour détecter toute activité suspecte— En appréhendant le comportement de cette variante, vous pourrez surveiller les serveurs Windows et Linux au sein de votre entreprise afin de détecter ce type d'activité, et ainsi gérer ces attaques le plus vite possible. Assurez-vous de disposer d'une solution qui surveillera et détectera ce type d'activité, et pensez à former votre équipe de sécurité aux signes précurseurs.
Rejoignez ce webinaire pour en savoir plus sur cette menace
Rechercher dans le blog
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
