新型恶意软件可被定制修改,以提升挖矿速度

安全
最近,研究人员发现了一个新型 Golang 恶意软件被用于植入门罗币挖矿程序,并且攻击者可以通过定制修改将挖矿速度提升 15%。

[[416525]]

最近,研究人员发现了一个新型 Golang 恶意软件被用于植入门罗币挖矿程序,并且攻击者可以通过定制修改将挖矿速度提升 15%。

Uptycs 表示,该恶意软件利用各种已知漏洞攻击 Web 服务器,例如 Oracle WebLogic 的 CVE-2020-14882、WordPress XML-RPC 的 CVE-2017-11610 等。

“CVE-2020-14882 是经典的路径遍历漏洞”,Uptycs 的安全研究人员表示,“攻击者似乎试图通过更改 URL 并在 /console/images 上使用双重编码的执行路径遍历来绕过授权机制”。


而攻击者在利用 CVE-2017-11610 时会在其中一个参数中携带 Payload。


攻击链条

拉取 Golang 恶意软件的 Shell 脚本:


利用漏洞进行扫描攻击:


持久化并下载挖矿程序:

禁用硬件预读器:

提高挖矿效率

攻击者修改了 XMRig 的代码,使用模型特定寄存器(MSR)驱动程序来禁用硬件预读器,其在 Unix 和 Linux 服务器中用于调试、日志记录等用途。


“硬件预读器是一种处理器根据内核过去的访问行为预读数据的技术”,“处理器通过使用硬件预读器,将来自主存的指令存储到 L2 缓存中。然而,在多核处理器上,使用激进的硬件预读会造成系统性能的整体下降”。

性能下降是攻击者要竭力避免的问题,攻击者已经开始尝试操纵 MSR 寄存器禁用硬件预读器。根据 XMRig 的文档描述,此举可将速度提升约 15%。


从 6 月开始,Uptycs 的分析团队发现了七个使用类似技术的恶意样本。为了避免成为受害者,我们应让系统保持最新并及时打安全补丁。这将能够最大程度上防御此类攻击,毕竟该攻击始于漏洞利用。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-12-26 14:35:34

2015-11-09 16:21:13

2014-12-09 14:18:37

2021-11-18 14:01:25

网络安全数据技术

2023-08-07 07:44:44

2022-07-29 11:13:14

恶意软件网络攻击

2021-12-24 10:26:10

侧载攻击恶意软件网络攻击

2022-07-20 15:00:45

恶意软件网络攻击漏洞

2012-03-23 09:28:14

2023-07-27 16:51:20

2023-06-16 12:17:25

2021-02-02 09:12:13

恶意软件Android网络攻击

2021-02-07 09:27:42

2020-12-03 15:54:15

软件开发工具

2024-11-15 16:17:49

2024-08-20 16:51:16

2022-09-08 18:41:34

恶意软件ShikitegaLinux

2021-11-17 22:10:34

恶意软件Android网络安全

2023-11-08 14:23:55

2023-11-14 13:39:40

点赞
收藏

51CTO技术栈公众号