[[418056]]

研究人員說，最近發現了Golang加密蠕蟲的一個新變種在受害者機器上投放Monero挖掘惡意軟件，在此次攻擊的方式中，有效載荷文件能夠將挖掘的效率提升15%。

根據Uptycs的研究，該蠕蟲病毒掃描并利用了流行的基于Unix和Linux的網絡服務器的各種已知漏洞，包括Oracle WebLogic服務器的CVE-2020-14882，以及一個被稱為CVE-2017-11610的影響XML-RPC服務器的遠程代碼執行(RCE)漏洞。XML-RPC是WordPress提供的一個接口。

CVE-2020-14882是一個典型的路徑遍歷漏洞，該漏洞可以用于攻擊網絡邏輯服務器，而且攻擊者試圖通過改變URL和在/console/images上使用雙重編碼來繞過授權機制進行路徑遍歷。

研究人員補充說，CVE-2017-11610的漏洞同時在其中一個參數中包含了一個編碼的有效載荷。

Golang加密攻擊的殺傷鏈

研究人員指出，在初始漏洞利用之后，攻擊者會先使用一個curl工具來下載蠕蟲的shell腳本，并補充說該腳本使用了一些防御規避技術，如改變防火墻和禁用監控代理。

報告指出，該初始腳本隨后會下載了第一階段的蠕蟲樣本，該樣本是用Golang(因此而得名)編譯的，并進行了UPX打包。該蠕蟲病毒使用go-bindata軟件包，將現成的XMRig加密器嵌入到軟件中。

一旦安裝，該蠕蟲就會下載另一個shell腳本，該腳本會下載同一個Golang蠕蟲的副本。它會繼續將自己的多個副本寫入到各種敏感目錄中，如/boot、/efi、/grub。

之后，它最終會將XMRig安裝到/tmp位置，并使用一個base64編碼的命令，從C2下載任何其他遠程服務器上的shell腳本。

提高效率的挖礦技術

XMRig是一個著名的Monero加密貨幣的加密器，該蠕蟲作為有效載荷已經使用了一段時間。然而，根據Uptycs周四發布的報告，在最新的攻擊活動中，病毒文件已經被優化，提高了感染效率。

具體來說，各種惡意軟件的變種會使用特定型號的寄存器(MSR)驅動程序來禁用硬件預取器。Unix和Linux服務器中的MSR具有調試、記錄信息等功能。

Uptycs研究人員解釋說："硬件預取器是一種新的技術，處理器會根據內核過去的訪問行為來預取數據，處理器(CPU)通過使用硬件預取器，將指令從主內存存儲到二級緩存中。然而，在多核處理器上，使用硬件預取會造成功能受損，并導致系統性能整體下降"。

這種性能的下降對XMRig來說是個很大的問題，因為它需要利用機器的處理能力來進行賺取Monero幣。

為了防止這種情況，Uptycs發現的加密二進制文件使用了MSR寄存器來切換某些CPU功能和計算機性能監控功能。研究人員解釋說，通過操縱MSR寄存器，硬件預取器可以被禁用。

研究人員說："根據XMRig的文檔，禁用硬件預取器可將速度提高到15%"。

然而，研究人員警告說，這一功能會給企業帶來更大的風險。根據分析，在挖礦的過程中，對MSR寄存器的修改可能會導致企業資源的性能出現下降。

從6月開始，Uptycs團隊總共發現了七個類似的Golang蠕蟲加密器的樣本。

研究人員總結說："隨著比特幣和其他幾種加密貨幣的興起和越來越高的估值，基于加密貨幣的攻擊會繼續在攻擊威脅領域占據主導地位，蠕蟲式的加密貨幣攻擊具有很高的門檻，因為它們會寫入多個副本，而且也會在企業網絡的端點上進行傳播。"

為了避免計算機被攻擊，我們需要保持系統的更新和打補丁來預防這種特殊的攻擊。

本文翻譯自：https://threatpost.com/golang-cryptomining-worm-speed-boost/168456/如若轉載，請注明原文地址。