新型恶意软件可被定制修改,以提升挖矿速度
2021-08-08 13:37:34 Author: www.freebuf.com(查看原文) 阅读量:18 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

最近,研究人员发现了一个新型 Golang 恶意软件被用于植入门罗币挖矿程序,并且攻击者可以通过定制修改将挖矿速度提升 15%。

Uptycs 表示,该恶意软件利用各种已知漏洞攻击 Web 服务器,例如 Oracle WebLogic 的 CVE-2020-14882、WordPress XML-RPC 的 CVE-2017-11610 等。

“CVE-2020-14882 是经典的路径遍历漏洞”,Uptycs 的安全研究人员表示,“攻击者似乎试图通过更改 URL 并在 /console/images 上使用双重编码的执行路径遍历来绕过授权机制”。

而攻击者在利用 CVE-2017-11610 时会在其中一个参数中携带 Payload。

攻击链条

拉取 Golang 恶意软件的 Shell 脚本

利用漏洞进行扫描攻击

持久化并下载挖矿程序

禁用硬件预读器

提高挖矿效率

攻击者修改了 XMRig 的代码,使用模型特定寄存器(MSR)驱动程序来禁用硬件预读器,其在 Unix 和 Linux 服务器中用于调试、日志记录等用途。

“硬件预读器是一种处理器根据内核过去的访问行为预读数据的技术”,“处理器通过使用硬件预读器,将来自主存的指令存储到 L2 缓存中。然而,在多核处理器上,使用激进的硬件预读会造成系统性能的整体下降”。

性能下降是攻击者要竭力避免的问题,攻击者已经开始尝试操纵 MSR 寄存器禁用硬件预读器。根据 XMRig 的文档描述,此举可将速度提升约 15%。

从 6 月开始,Uptycs 的分析团队发现了七个使用类似技术的恶意样本。为了避免成为受害者,我们应让系统保持最新并及时打安全补丁。这将能够最大程度上防御此类攻击,毕竟该攻击始于漏洞利用。

参考来源

Uptycs

ThreatPOST


文章来源: https://www.freebuf.com/news/283788.html
如有侵权请联系:admin#unsafe.sh