科学研究工作人员说,近期看到了Golang数据加密蠕虫的一个新变异在受害人设备上推广Monero发掘恶意程序,在本次进攻的形式中,有效载荷文档可以将发掘的高效率提高15%。
依据Uptycs的科学研究,该蠕虫病毒扫描并运用了受欢迎的根据Unix和Linux的网络服务器的各种各样已经知道漏洞,包含Oracle WebLogic服务端的CVE-2020-14882,及其一个被称作CVE-2017-11610的危害XML-RPC网络服务器的远程控制执行命令(RCE)漏洞。XML-RPC是WordPress给予的一个插口。
CVE-2020-14882是一个典型性的途径解析xml漏洞,该漏洞可以用以进攻互联网逻辑性网络服务器,并且网络攻击尝试借助更改URL与在/console/images上应用双向编号来绕开受权体制开展途径解析xml。
科学研究工作人员填补说,CVE-2017-11610的漏洞与此同时之中一个主要参数中包括了一个编号的有效载荷。
Golang数据加密进攻的破坏力链
科学研究工作人员强调,在原始漏洞运用以后,网络攻击会先应用一个curl专用工具来下载蠕虫的shell脚本,并填补说该脚本应用了一些防御力避开技术性,如更改服务器防火墙和禁止使用监管代理商。
汇报强调,该原始脚本接着会下载了第一阶段的蠕虫样版,该样本是用Golang(因而而而出名)编译程序的,并开展了UPX装包。该蠕虫病毒感染应用go-bindata软件包,将现有的XMRig加密工具置入到系统中。
一旦安裝,该蠕虫便会下载另一个shell脚本,该脚本会下载同一个Golang蠕虫的团本。它会再次将自身的众多团本载入到各种各样比较敏感文件目录中,如/boot、/efi、/grub。
以后,它最后会将XMRig安裝到/tmp部位,并应用一个base64编号的指令,从C2下载一切别的虚拟服务器上的shell脚本。
提高工作效率的挖币技术性
XMRig是一个知名的Monero数字货币的加密工具,该蠕虫做为有效载荷早已采用了一段时间。殊不知,依据Uptycs周四公布的汇报,在近期的进攻主题活动中,病毒感染文档早已被提升,提高了感柒高效率。
从总体上,各种各样恶意程序的变异会应用特殊规格的存储器(MSR)驱动软件来禁止使用硬件配置预取器。Unix和Linux网络服务器中的MSR具备调节、纪录信息内容等作用。
Uptycs科学研究工作人员表述说:"硬件配置预取器是一种新的技术性,CPU会依据核心以往的浏览个人行为来预取数据信息,CPU(CPU)根据应用硬件配置预取器,将命令从主运行内存储存到二级缓存中。殊不知,在多核处理器上,应用硬件配置预取会导致作用损伤,并可能会导致特性总体降低"。
这类特性的降低对XMRig而言是个较大的问题,因为它必须运用设备的解决工作能力来开展获得Monero币。
为了避免这样的事情,Uptycs发觉的数据加密二进制文件应用了MSR存储器来转换一些CPU作用和计算机性能监管作用。科学研究工作人员表述说,根据控制MSR存储器,硬件配置预取器可以被禁止使用。
科学研究工作人员说:"依据XMRig的文本文档,禁止使用硬件配置预取器可将速率提升到15%"。
殊不知,科学研究工作人员警示说,这一作用会给公司提供更高的风险性。依据剖析,在挖币的历程中,对MSR存储器的改动很有可能会致使公司网络资源的功能发生降低。
从6月逐渐,Uptycs精英团队一共发觉了七个相近的Golang蠕虫加密工具的样版。
科学研究工作人员汇总说:"伴随着BTC和别的几类数字货币的迅猛发展和更加高的估价,根据数字货币的进攻会再次在进攻危害行业占有主导性,蠕虫式的数字货币进攻具备很高的门坎,由于他们会载入好几个团本,并且也会在企业网络的节点上实现散播。"
为了防止电子计算机黑客攻击,大家必须维持体系的升级和修复漏洞来防止这类独特的进攻。
文中翻譯自:https://threatpost.com/golang-cryptomining-worm-speed-boost/168456/倘若转截,请标明全文详细地址。