最近,研究人员发现了一个新型 Golang 恶意软件被用于植入门罗币挖矿程序,并且攻击者可以通过定制修改将挖矿速度提升 15%。
Uptycs 表示,该恶意软件利用各种已知漏洞攻击 Web 服务器,例如 Oracle WebLogic 的 CVE-2020-14882、WordPress XML-RPC 的 CVE-2017-11610 等。
“CVE-2020-14882 是经典的路径遍历漏洞”,Uptycs 的安全研究人员表示,“攻击者似乎试图通过更改 URL 并在 /console/images 上使用双重编码的执行路径遍历来绕过授权机制”。
而攻击者在利用 CVE-2017-11610 时会在其中一个参数中携带 Payload。
攻击链条
拉取 Golang 恶意软件的 Shell 脚本:
利用漏洞进行扫描攻击:
持久化并下载挖矿程序:
禁用硬件预读器:
提高挖矿效率
攻击者修改了 XMRig 的代码,使用模型特定寄存器(MSR)驱动程序来禁用硬件预读器,其在 Unix 和 Linux 服务器中用于调试、日志记录等用途。
“硬件预读器是一种处理器根据内核过去的访问行为预读数据的技术”,“处理器通过使用硬件预读器,将来自主存的指令存储到 L2 缓存中。然而,在多核处理器上,使用激进的硬件预读会造成系统性能的整体下降”。
性能下降是攻击者要竭力避免的问题,攻击者已经开始尝试操纵 MSR 寄存器禁用硬件预读器。根据 XMRig 的文档描述,此举可将速度提升约 15%。
从 6 月开始,Uptycs 的分析团队发现了七个使用类似技术的恶意样本。为了避免成为受害者,我们应让系统保持最新并及时打安全补丁。这将能够最大程度上防御此类攻击,毕竟该攻击始于漏洞利用。