Crédit : Dreamstime
Un scientifique met en garde contre un tout nouveau ver qui contamine les serveurs Linux en forcer brutalement et voler les identifiants SSH. Les serveurs piratés participent à un botnet et sont utilisés pour miner la crypto-monnaie en remplissant les programmes de minage directement en mémoire sans aucun fichier sur le disque.
Surnommé Panchan par des chercheurs d’Akamai, le malware est écrit dans le langage des programmes Go. , ce qui lui permet d’être indépendant de la plate-forme. Il est apparu pour la première fois fin mars et a depuis infecté des serveurs dans toutes les régions du monde, bien que l’Asie semble avoir une plus grande concentration. Le secteur vertical le plus touché semble être l’éducation.
« Cela peut être dû à une mauvaise santé du mot de passe, ou cela pourrait être lié à la capacité de mouvement latéral distincte du logiciel malveillant avec des clés SSH volées », a déclaré le groupe Akamai dans un communiqué. Publier.
» Les scientifiques de différentes institutions universitaires peuvent collaborer plus fréquemment et avoir besoin d’informations d’identification pour s’authentifier auprès de fabricants extérieurs à leur organisation / réseau, que les employés du secteur des entreprises. Pour renforcer cette hypothèse, nous avons vu que certaines des universités incluses étaient du même pays – l’Espagne, ou d’autres de la même région, comme Taiwan et Hong Kong. «
Infections SSH et communications peer-to-peer
Le malware a des capacités de ver, suggérant qu’il peut immédiatement passer d’un fabricant à une machine. Il y parvient de 2 manières : en lançant une attaque par force brute basée sur un dictionnaire contre l’accès à distance SSH aux services pour essayer de deviner les mélanges nom d’utilisateur/mot de passe, et en prenant les clés SSH autorisées qui existent actuellement sur les fabricants contaminés.
« Le logiciel malveillant recherche sous le site de répertoire de l’utilisateur en cours d’exécution la configuration et les secrets de ssh », ont déclaré les chercheurs. » Il lit la clé privée sous ~ HOUSE/. ssh/id _ rsa et l’utilise pour essayer de valider toute adresse IP trouvée sous ~ HOME/. ssh/known _ hosts. Il s’agit d’une approche unique de collecte d’informations d’identification que nous n’avons pas vue utilisé dans d’autres logiciels malveillants. «
Une fois qu’il accède à un nouveau fabricant, le logiciel malveillant crée un dossier avec un nom aléatoire sous le répertoire racine et se copie à l’intérieur avec le nom de fichier xinetd.
Le malware est ensuite exécuté avec une liste de pairs. Cela établit un canal d’interaction entre différents appareils contaminés leur permettant de se transmettre des commandes et des configurations. Le canal de communication utilise le port TCP 1919 que le logiciel malveillant ouvre dans le logiciel pare-feu à l’aide des commandes iptables.
Une caractéristique intrigante, très probablement affectée par sa topologie de commande et de contrôle peer-to-peer, est que le logiciel malveillant binaire a un panneau de commande intégré, par opposition à un tel panneau hébergé sur un serveur de commande et de contrôle. L’accès à ce panneau depuis un autre emplacement peut se faire en envoyant la commande » godmode » au logiciel malveillant, puis en fournissant la clé privée appropriée pour l’authentification.
Le panneau d’administration propose 3 choix importants : revitaliser l’écran d’état, afficher la liste des pairs et la mise à niveau de la configuration du cryptomineur. Le panneau affiche du texte en japonais, recommandant que les créateurs du logiciel malveillant soient des locuteurs japonais.
Le cryptominage est la fonction du botnet
L’objectif principal du botnet à l’heure actuelle semble être du cryptomining, bien que cela puisse être étendu plus tard. Le logiciel malveillant libère les mineurs xmrig et nbhash mais le fait en utilisant la fonction memfd_create pour développer des fichiers mappés et exécutés directement en mémoire sans les composer sur le disque. Cela est probablement destiné à empêcher la détection car xmrig et nbhash sont des programmes de cryptominage populaires pour lesquels la majorité des programmes de sécurité fourniront des alertes.
Cela est davantage étayé par le fait que le logiciel malveillant dispose d’un module anti-surveillance appelé antitaskmanager qui recherche en permanence les processus top et htop et met fin aux processus de minage s’il les voit. Top et htop sont des énergies Linux utilisées pour surveiller les procédures actives et leur utilisation des ressources.
Le malware dispose également d’un système anti-kill qui capture les signaux de terminaison Linux SIGTERM et SIGINT et pour sa propre procédure et les ignore. Cependant, les scientifiques soulignent que cela n’empêche pas SIGKILL qui peut être utilisé pour tuer son processus.
Les chercheurs d’Akamai ont en fait développé un référentiel avec des indicateurs de compromission pour ce malware en plus de la détection YARA et Snort. signatures. Ils conseillent également aux organisations de définir des mots de passe SSH forts, d’utiliser des services d’authentification multifacteur, de segmenter leurs réseaux, d’autoriser les connexions SSH uniquement à partir d’hôtes connus et de surveiller leurs machines virtuelles pour détecter toute activité inhabituelle sur les ressources, car les logiciels malveillants de cryptominage entraîneront une consommation élevée de ressources.
Toute l’actualité en temps réel, est sur L’Entrepreneur
