【安全资讯】Golang挖矿蠕虫为提升效率,使用MSR禁用硬件预取器

猎影实验室 2021-08-09 06:47:13 2196人浏览

引言

研究人员最近发现,一个使用Golang语言编写的挖矿蠕虫使用新方法提升挖矿效率,通过使用 MSR(模型特定寄存器)驱动程序禁用硬件预取器,将挖矿速度提高15%。硬件预取是由硬件根据访存的历史信息,对未来可能的访存单元预取数据。处理器(或 CPU)通过使用硬件预取器,将来自主存储器的指令存储到 L2 缓存中。然而,在多核处理器上,使用硬件预取会导致系统性能的整体下降。为了提高矿工的执行性能,从而提高挖掘过程的速度,Xmrig 矿工使用 MSR 禁用硬件预取器。


简况

蠕虫病毒的攻击链过程如下:

1.受蠕虫攻击的加密矿工的攻击链以 Shell 脚本开始,该脚本使用 curl 实用程序下载Golang语言编写的蠕虫。

2.该蠕虫会扫描并利用受害机器上现有的基于服务器的漏洞,如CVE-2020-14882和CVE-2017-11610。

3.在访问易受攻击的服务器后,蠕虫会下载另一个 shell 脚本,该脚本会下载蠕虫的副本。

4.该蠕虫还将自身的多个副本写入各种目录,例如 /boot、/efi、/grub,然后在 /tmp 位置放置 Xmrig 矿工。

5.矿工通过使用 MSR 禁用硬件预取器来加速挖矿过程。


研究人员分析的 shell 脚本涉及多种防御规避技术,例如更改防火墙、禁用监控代理。除此之外,该脚本还使用“sed -i”命令修改文件和 nanopool URL。该脚本最终从 194.145.227[.]21 下载第一阶段蠕虫样本,下载第一阶段蠕虫的脚本如下:



总结

随着比特币和其他几种加密货币的崛起和天价估值,基于加密挖掘的攻击越来越多。蠕虫病毒攻击具有更高的阈值,因为它们会写入多个副本,并且还会在企业网络中的端点之间传播。在挖矿过程中,修改 MSR 寄存器可能会导致企业资源出现致命的性能问题。因此,研究人员建议企业及时建立防护机制以应对挖矿威胁。

失陷指标(IOC)12
蠕虫 挖矿 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。