malware de cryptominage

Focus sur les menaces : une nouvelle variante du malware de cryptominage

Version imprimable, PDF et e-mail

Une nouvelle variante du malware de cryptominage connu sous le nom de Golang cible désormais les machines Windows et Linux. Alors que le nombre d'attaques détectées est faible, en raison de l'aspect nouveau de ce logiciel malveillant, les chercheurs de Barracuda ont jusqu'à présent pu identifier sept adresses IP sources associées à Golang, toutes situées en Chine. Plutôt que de cibler les utilisateurs finaux, ce nouveau malware s'attaque aux serveurs.

Intéressons-nous plus en détail à cette menace toujours plus présente, et découvrons les solutions qui vous aideront à la détecter, la bloquer et à réparer ses éventuels dégâts.

Menaces particulièrement importantes

La nouvelle variante du malware « Golang » Ce nouveau type de malware attaque les infrastructures applicatives Web, les serveurs d'applications et les services non-HTTP tels que Redis et MSSQL. Son objectif principal est de miner la cryptomonnaie Monero à l'aide de XMRig, un cryptomineur réputé. Golang se propage alors rapidement, recherchant et infectant d'autres appareils vulnérables.

Les premières versions de ce malware ciblaient uniquement les machines Linux. Cette nouvelle version, elle, attaque également les machines Windows et utilise un tout nouvel ensemble d'exploits. Certains exploits ciblent par exemple l'infrastructure applicative Web ThinkPHP, très populaire en Chine. À l'image des autres familles de malwares, il ne fait aucun doute que Golang n'aura de cesse d'évoluer, employant toujours plus d'exploits.

Au lieu de cibler les utilisateurs finaux, ce #malware attaque les serveurs. Découvrez comment protéger votre entreprise du #cryptominage. Cliquez pour tweeter

Les détails

Dès que le malware parvient à infecter une machine, ce dernier télécharge les fichiers suivants, personnalisés en fonction de la plateforme ciblée. Les attaques suivent un procédé identique, comprenant la dépose d'une charge utile initiale, un script mis à jour, un mineur, un watchdog (programme systémique de vérification), un scanner et un fichier de configuration pour le cryptomineur. Dans le cas d'une machine Windows, le malware ajoute également un backdoor.

Linux Windows Description
init.sh

4cc8f97c2bf9cbabb2c2be292886212a

init.ps1

ebd05594214f16529badf5e7033054aa

Le script d'initialisation s'exécute en tant que charge utile initiale.
update.sh

4cc8f97c2bf9cbabb2c2be292886212a

update.ps1

ebd05594214f16529badf5e7033054aa

Identique au script d'initialisation, le script de mise à jour s'exécute en tant que tâche programmée.
Sysupdate

149c79bf71a54ec41f6793819682f790

sysupdate.exe

97f3dab8aa665aac5200485fc23b9248

Le cryptomineur s'appuie sur XMRig, un script de minage open source réputé.
Sysguard

c31038f977f766eeba8415f3ba2c242c

sysgurard.exe

ba7fe28ec83a784b1a5437094c63182e

Le watchdog s'assure que le scanner et le mineur sont fonctionnels et que tous les composants sont à jour.
networkservice

8e9957b496a745f5db09b0f963eba74e

networkservice.exe

a37759e4dd1be906b1d9c75da95d31a2

Le scanner recherche sur Internet des machines vulnérables et les infecte via le malware.
S/O clean.bat

bfd3b369e0b6853ae6d229b1aed410a8

Utilisé uniquement sur des machines Windows, ce script ajoute au système un backdoor.
config.json

c8325863c6ba60d62729decdde95c6fb

config.json

c8325863c6ba60d62729decdde95c6fb

Cet élément correspond au fichier de configuration du cryptomineur.

Init/update scripts

Les scripts d'initialisation et de mise à jour partagent le même contenu sur chaque plateforme. Ils sont utilisés aussi bien pour installer un malware que pour mettre à jour ses composants. Le script d'initialisation s'exécutera en tant que charge utile initiale ; le script de mise à jour, lui, s'exécutera en tant que tâche programmée (cron dans Linux).

Le script d'initialisation dédié aux machines Linux est agressif : il supprime en effet tous les mineurs et logiciels malveillants concurrents, il bloque les ports, ajoute des clés en backdoor et désactive le module SELinux. Le script d'initialisation dédié aux machines Windows exécute plusieurs étapes fondamentales, bien moins sophistiquées que celles mises en place par le script d'initialisation pour Linux. Ce script n'a pas été détecté dans les précédentes versions du malware, c'est pourquoi les chercheurs pensent que le logiciel cible désormais les serveurs Windows.

Mineur – sysupdate/sysupadte.exe

Le cryptomineur s'appuie sur XMRig, un script de minage open source réputé. Son fichier de configuration est le fichier config.json.

Watchdog – sysguard/sysgurad.exe

Le watchdog s'assure que le scanner et le mineur sont fonctionnels et que tous les composants sont à jour. S'il ne parvient pas à se connecter au serveur de commande et contrôle, il tentera de récupérer l'adresse du nouveau serveur en analysant les transactions sur un compte Ethereum dédié.

Le watchdog est écrit en Go (extrait et compressé à l'aide d'UPX).

Fichier backdoor – Clean.bat

Utilisé uniquement sur des machines Windows, ce script ajoutera simplement au système un autre utilisateur. Les scripts d'initialisation et de mise à jour pour les systèmes Linux effectuent une étape similaire en ajoutant au système une clé SSH autorisée.

Scanner – networkservice/networkservice.exe

Basé sur le langage de programmation Go (extrait et compressé à l'aide d'UPX), le scanner va propager le malware en analysant les réseaux à la recherche de machines vulnérables, puis en les infectant. Le scanner va simplement générer une adresse IP de manière aléatoire (en évitant les formats 127.x.x.x, 10.x.x.x et 172.x.x.x) et tentera de lancer une attaque sur la machine correspondante.

Après une attaque réussie, le scanner va envoyer un rapport au serveur de commande et contrôle, de type hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploit type>.

Un rapport de progression sera également envoyé au serveur de commande et contrôle,

hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/Iamscan/<scan count>

Protégez vos machines #Windows et #Linux de ces attaques ciblées. Le #malware se propage rapidement, recherchant et infectant d'autres appareils vulnérables. Cliquez pour tweeter

Les exploits réalisés par la nouvelle variante du cryptomineur

Distributeur PORTS CVE Description
Oracle WebLogic 7001/7002 CVE-2017-10271 Le malware tentera d'exploiter l'entrée CVE-2017-10271 et de déposer des charges sur les machines Windows et Linux.

 

ElasticSearch 9200 CVE-2015-1427 CVE-2014-3120 Le malware tentera d'exploiter les entrées CVE-2015-1427 et CVE-2014-3120 et de déposer une charge sur les machines Linux.

 

Drupal S/O CVE-2018-7600 Bien que visible dans le code, cette exploitation semble désactivée. Il utilise l'entrée CVE-2018-7600 et dépose une charge sur les machines Linux.

 

ThinkPHP 80/8080 CVE-2018-20062, N/A Le malware tentera d'exploiter deux failles du framework ThinkPHP et de déposer des charges sur les machines Windows et Linux.
Hadoop 8088 S/O En exploitant cette faille, le malware déposera une charge sur les machines Linux.
Redis 6379/6380 S/O Il tentera dans un premier temps de récupérer les identifiants si nécessaire (attaque par dictionnaire). Si la tentative réussit, le malware procèdera au stockage du fichier .db au sein du chemin cron pour parvenir à intégrer et exécuter un code à distance.
MSSQL 1433 S/O Le malware tentera dans un premier temps de récupérer les identifiants (attaque par dictionnaire) du serveur MSSQL. Si la tentative réussit, une charge sera déposée sur les machines Windows.
Appareils IoT S/O S/O Bien que visible dans le code, cette exploitation semble désactivée. Ce dernier cible les appareils IoT (CCTV).

Se protéger contre ces attaques

Certaines des mesures que nous allons vous présenter sont importantes et pourront vous aider à vous protéger contre cette nouvelle variante.

Web Application Firewall Assurez-vous d'avoir configuré votre WAF de manière adéquate. Cette variante se propage en recherchant sur Internet des machines vulnérables. Nombreuses sont les entreprises qui négligent la sécurité de leurs applications ; toutefois, cette dernière demeure l'un des principaux vecteurs de menace exploités par les cybercriminels.

Tenez-vous informé(e) des nouveaux correctifs Comme le montre ce malware, la stratégie d'un cybercriminel est simple : rechercher des vulnérabilités à exploiter. En restant au courant des nouvelles mises à jour et des correctifs de sécurité disponibles, vous contribuerez à protéger votre entreprise contre ces menaces.

Surveillez vos systèmes pour détecter toute activité suspecte En appréhendant le comportement de cette variante, vous pourrez surveiller les serveurs Windows et Linux au sein de votre entreprise afin de détecter ce type d'activité, et ainsi gérer ces attaques le plus vite possible. Assurez-vous de disposer d'une solution qui surveillera et détectera ce type d'activité, et pensez à former votre équipe de sécurité aux signes précurseurs.

Rejoignez ce webinaire pour en savoir plus sur cette menace

Remonter en haut de page
Tweeter
Partager
Partager