Golang Cryptomining Wurm bietet 15% Geschwindigkeitssteigerung

  • Die neuesten Varianten der Monero-Mining-Malware nutzen bekannte Webserver-Fehler aus und steigern die Effizienz des Mining-Prozesses.

    Eine neu entdeckte Variante des Golang-Kryptowurms wurde vor kurzem dabei entdeckt, wie er Monero-Mining-Malware auf die Rechner seiner Opfer schleuste. Durch eine Änderung der Taktik sind die Binärdateien in der Lage, den Mining-Prozess um 15 Prozent zu beschleunigen, so die Forscher.

    Nach Recherchen von Uptycs sucht der Wurm nach verschiedenen bekannten Schwachstellen in beliebten Unix- und Linux-basierten Webservern und nutzt diese aus, darunter CVE-2020-14882 im Oracle WebLogic Server und CVE-2017-11610, ein Fehler für die Remote-Code-Ausführung (RCE), der XML-RPC-Server betrifft. XML-RPC ist eine von WordPress bereitgestellte Schnittstelle.

    “CVE-2020-14882 [is a] klassische Path-Traversal-Schwachstelle, die zum Ausnutzen anfälliger Web-Logic-Server verwendet wird”, so Uptycs. “Es sieht so aus, als ob der Angreifer versucht, den Autorisierungsmechanismus zu umgehen, indem er die URL ändert und einen Pfad-Traversal mit doppelter Kodierung auf /console/images durchführt.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Der Exploit für CVE-2017-11610 enthält inzwischen eine verschlüsselte Nutzlast in einem der Parameter, fügten die Forscher hinzu.

    Golang Cryptomining-Angriff Kill Chain

    Nach der anfänglichen Ausnutzung beginnt der Angriff mit einem Shell-Skript, das den Wurm mit Hilfe des Curl-Dienstprogramms herunterlädt, so die Forscher. Sie fügten hinzu, dass das Skript mehrere Techniken zur Umgehung der Verteidigung einsetzt, wie z. B. das Ändern der Firewall und das Deaktivieren von Überwachungsagenten.

    Dieses erste Skript lädt dann das Wurmbeispiel der ersten Stufe herunter, das in Golang kompiliert (daher der Name) und in UPX gepackt wurde, so der Bericht. Der Wurm verwendet das go-bindata-Paket, um den handelsüblichen XMRig Cryptominer in sich selbst einzubetten.

    Sobald er installiert ist, lädt der Wurm ein weiteres Shell-Skript herunter, das eine Kopie desselben Golang-Wurms herunterlädt. Anschließend schreibt er mehrere Kopien von sich selbst in verschiedene sensible Verzeichnisse wie /boot, /efi und /grub.

    Danach installiert er schließlich XMRig in ein /tmp-Verzeichnis und verwendet einen base64-kodierten Befehl, der das Shell-Skript auf alle anderen gefährdeten Remote-Server vom C2 herunterlädt.

    Monero-Mining mit Effizienzsteigerung

    XMRig ist ein bekannter Kryptominer für die Kryptowährung Monero, die schon seit einiger Zeit von dem Wurm als Nutzlast verwendet wird. In der jüngsten Kampagne wurden die Binärdateien jedoch modifiziert, um die Effizienz zu verbessern, so der am Donnerstag veröffentlichte Uptycs-Bericht.

    Konkret nutzen die verschiedenen Malware-Varianten den MSR-Treiber (Model Specific Register), um Hardware-Prefetcher zu deaktivieren. MSRs in Unix- und Linux-Servern werden für Debugging, Protokollierung und so weiter verwendet.

    “Hardware-Prefetcher ist eine Technik, bei der die Prozessoren Daten auf der Grundlage des vergangenen Zugriffsverhaltens des Kerns vorholen”, erklärten die Uptycs-Forscher. “Der Prozessor (oder die CPU) speichert mit Hilfe des Hardware-Prefetcher Anweisungen aus dem Hauptspeicher in den L2-Cache. Bei Multicore-Prozessoren führt die Verwendung von aggressivem Hardware-Prefetching jedoch zu Behinderungen und insgesamt zu einer Verschlechterung der Systemleistung.”

    Diese Leistungsverschlechterung ist ein Problem für XMRig, das die Rechenleistung einer Maschine nutzt, um die komplexen Berechnungen in großem Umfang durchzuführen, die erforderlich sind, um Monero-Münzen zu verdienen.

    Um dies zu verhindern, verwenden die von Uptycs entdeckten Kryptomining-Binärprogramme MSR-Register, um bestimmte CPU-Funktionen und die Überwachung der Computerleistung umzuschalten. Durch die Manipulation der MSR-Register können die Hardware-Prefetcher deaktiviert werden, erklärten die Forscher.

    “Laut der Dokumentation von XMRig erhöht die Deaktivierung des Hardware-Prefetcher die Geschwindigkeit um bis zu 15 Prozent”, so die Forscher.

    Diese Funktion stellt jedoch ein erhöhtes Risiko für Unternehmen dar, warnten die Forscher: “Neben dem Mining-Prozess kann die Veränderung der MSR-Register zu fatalen Leistungsproblemen der Unternehmensressourcen führen”, heißt es in der Analyse.

    Insgesamt identifizierte das Uptycs-Team ab Juni sieben ähnliche Exemplare des Kryptominers mit Golang-Wurm.

    “Mit dem Aufstieg und der hohen Bewertung von Bitcoin und verschiedenen anderen Kryptowährungen haben Kryptomining-basierte Angriffe die Bedrohungslandschaft weiterhin dominiert”, so die Forscher. “Wormed Cryptominer-Angriffe haben eine höhere Schwelle, da sie mehrere Kopien schreiben und sich auch über Endpunkte in einem Unternehmensnetzwerk verbreiten.”

    Um zu vermeiden, dass man ein Opfer wird, sollte man seine Systeme auf dem neuesten Stand halten und mit Patches versehen, um diesen speziellen Angriff zu vereiteln, da er mit der Ausnutzung von Fehlern beginnt.

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Registrieren Sie sich jetzt für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs. Finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie zuerst dorthin gelangen können. Seien Sie dabei, wenn Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST an dieser LIVE-Diskussion teilnehmen.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com