【安全资讯】Golang挖矿蠕虫为提升效率，使用MSR禁用硬件预取器

引言

研究人员最近发现，一个使用Golang语言编写的挖矿蠕虫使用新方法提升挖矿效率，通过使用 MSR（模型特定寄存器）驱动程序禁用硬件预取器，将挖矿速度提高15%。硬件预取是由硬件根据访存的历史信息，对未来可能的访存单元预取数据。处理器（或 CPU）通过使用硬件预取器，将来自主存储器的指令存储到 L2 缓存中。然而，在多核处理器上，使用硬件预取会导致系统性能的整体下降。为了提高矿工的执行性能，从而提高挖掘过程的速度，Xmrig 矿工使用 MSR 禁用硬件预取器。

简况

蠕虫病毒的攻击链过程如下：

1.受蠕虫攻击的加密矿工的攻击链以 Shell 脚本开始，该脚本使用 curl 实用程序下载Golang语言编写的蠕虫。

2.该蠕虫会扫描并利用受害机器上现有的基于服务器的漏洞，如CVE-2020-14882和CVE-2017-11610。

3.在访问易受攻击的服务器后，蠕虫会下载另一个 shell 脚本，该脚本会下载蠕虫的副本。

4.该蠕虫还将自身的多个副本写入各种目录，例如 /boot、/efi、/grub，然后在 /tmp 位置放置 Xmrig 矿工。

5.矿工通过使用 MSR 禁用硬件预取器来加速挖矿过程。

研究人员分析的 shell 脚本涉及多种防御规避技术，例如更改防火墙、禁用监控代理。除此之外，该脚本还使用“sed -i”命令修改文件和 nanopool URL。该脚本最终从 194.145.227[.]21 下载第一阶段蠕虫样本，下载第一阶段蠕虫的脚本如下：

总结

随着比特币和其他几种加密货币的崛起和天价估值，基于加密挖掘的攻击越来越多。蠕虫病毒攻击具有更高的阈值，因为它们会写入多个副本，并且还会在企业网络中的端点之间传播。在挖矿过程中，修改 MSR 寄存器可能会导致企业资源出现致命的性能问题。因此，研究人员建议企业及时建立防护机制以应对挖矿威胁。