vendredi, avril 26, 2024

ThePressFree

Blog d'actualité

Crypto monnaie 

Le risque insidieux des mineurs de crypto-monnaie accessibles au public

ThePressFree Aucun commentaire


Les chercheurs d’IBM Security X-Force ont étudié l’activité de botnet d’une variante de malware utilisée par des groupes de cybercriminalité pour extraire illégalement de la crypto-monnaie. En examinant deux botnets ShellBot qui apparaissaient dans des pots de miel d’attaques capturés, l’équipe X-Force a pu infecter ses propres appareils et faire partie des botnets en direct, obtenant ainsi un aperçu de la façon dont ces botnets étaient gérés en interne. Cet article fournit des détails sur les recherches d’IBM et met en lumière la menace croissante des botnets de cryptomining pour les réseaux d’entreprise.

Bien que le fait de voir des ressources de calcul abusées par des opérations de cryptojacking soit un problème suffisant, la conséquence la plus risquée de l’infection est que les logiciels malveillants engendrent des logiciels malveillants. Une infection apparemment simpliste est toujours un point d’ancrage qui peut entraîner des logiciels malveillants plus sophistiqués sur le réseau, ce qui peut finir par exfiltrer des données et même installer un ransomware pour extorquer l’organisation plus tard.

Le cryptojacking est le nom du jeu de ShellBot

Avec l’augmentation exponentielle de la valeur de la crypto-monnaie, les efforts de cybercriminalité basés sur ces pièces numériques ont également augmenté. Mis à part l’augmentation dévastatrice des attaques de ransomware, l’extraction illégale de crypto-monnaie sur des appareils que l’on ne possède pas, c’est-à-dire le cryptojacking, est devenue une menace de qualité commerciale utilisée entre les mains de criminels isolés et de groupes organisés. Dans certains cas, les opérations de cryptojacking qui permettent aux exploitations minières de traiter des pièces ont atteint l’ampleur d’une entreprise de 50 millions de dollars pour leurs maîtres bots.

Le malware ShellBot vit dans cet écosystème. Bien qu’il s’agisse d’un simple morceau de code basé sur Perl, il permet aux attaquants de monter des botnets contrôlés par Internet Relay Chat (IRC) qui commandent l’extraction de pièces sur les ordinateurs, les serveurs Linux, les appareils Android et les appareils Internet des objets. La seule exigence est d’avoir un mot de passe faible, car le point d’entrée typique de ShellBot est une attaque par force brute ; l’autre est une injection de commande sur des serveurs qui acceptent des commandes distantes de l’interface de ligne de commande (CLI).

Alors qu’il a commencé comme un bot IRC de base, au fil du temps, ShellBot a utilisé des exploits efficaces pour compromettre les serveurs et les appareils. Il a commencé avec une campagne ShellShock (CVE-2014-6271), d’où son nom, mais au fil des ans, il a utilisé Drupalgeddon (CVE-2018-7600) et d’autres exploits qui peuvent compromettre de larges pans d’appareils. ShellBot a également fait évoluer ses fonctionnalités pour mieux se propager sur les réseaux et désactiver les infections concurrentes afin de garantir que toute la puissance de calcul est utilisée pour ses propres objectifs. L’objectif de ShellBot, dans la plupart des cas, est l’extraction de pièces Monero.

Forcer brutalement un passage

Les infections ShellBot utilisent généralement des attaques par force brute pour deviner les mots de passe des serveurs et appareils ciblés. Dans les botnets examinés par IBM X-Force, les types d’informations d’identification les plus fréquemment utilisés ont permis d’identifier les cibles en tant que bases de données mal configurées, serveurs FTP, serveurs de surveillance et autres machines Linux.

Le nom d’utilisateur de loin le plus fréquent pour lequel le mot de passe a été forcé brutalement était « root », suivi des chaînes de nom d’utilisateur standard ou par défaut telles que « ubuntu », « admin », « utilisateur » et « test ». Il existait également des informations d’identification standard de type base de données telles que « oracle », « postgres » ou « mysql ».

Figure 1 : Les principaux types de nom d’utilisateur utilisés dans les attaques ShellBot (Source : IBM X-Force)

Les journaux de botnet ont également montré les principaux mots de passe que le malware a réussi à deviner. Malheureusement pour les propriétaires d’appareils ciblés, il était assez facile de trouver des mots de passe simples et par défaut.

Figure 2 : Les principaux mots de passe faibles utilisés dans les attaques ShellBot (Source : IBM X-Force)

Les campagnes ShellBot enregistrées dans les pièges à courrier indésirable d’IBM se sont concentrées sur les instances ShellBot vérifiées et les tactiques, techniques et procédures ShellBot (TTP) qui lancent également une charge utile basée sur Perl. IBM X-Force a connu pas mal d’activité chaque mois, comme le montre la figure ci-dessous.

Figure 3 : Activité ShellBot par mois, de janvier à juin 2021 (Source : IBM X-Force)

Infecter et contrôler

ShellBot est déposé en tant que charge utile sur les systèmes et les appareils sur lesquels un mot de passe a été brutalement forcé. Immédiatement après une connexion réussie, la machine/périphérique infecté reçoit une liste de commandes à exécuter ; ceux-ci incluent le renvoi des informations système, le téléchargement et l’exécution d’un script PERL, la suppression des journaux, la suppression de l’historique des commandes et la suppression de la charge utile elle-même.

Chaque variante ShellBot est connectée à un botnet différent via un canal IRC. Pour entrer dans le botnet, IBM a infecté certains appareils et a suivi l’activité.

Le serveur ‘Blackcat’

Au moment de rejoindre un serveur nommé Blackcat, le canal se composait de près d’une centaine de bots actifs et avait environ quatre mois. Le canal lui-même n’était utilisé par l’opérateur que pour s’adresser à une ou plusieurs machines, auxquelles il répondait dans un chat privé.

Des commandes de reconnaissance étaient régulièrement envoyées aux bots, dans le but de collecter des informations qui permettraient aux opérateurs du botnet de se concentrer sur des actifs de valeur. Les informations que les attaquants recherchaient étaient l’accès root, les informations CPU et GPU et l’architecture du système (ARMV, etc.). Plus particulièrement, les opérateurs de botnet Blackcat étaient impatients de trouver des machines avec des GPU NVIDIA, qui est une unité de traitement graphique avec une puissance de calcul plus élevée qui se traduit par un minage plus rapide.

Une fois que les opérateurs du serveur ont obtenu les informations sur le CPU/GPU du système, ils regroupent les bots dans différents canaux en conséquence.

Figure 4 : Les opérateurs recherchent les informations GPU et trient les robots dans le canal #nvidia

Après avoir trié les machines en fonction de leurs capacités d’extraction, les opérateurs téléchargeaient et exécutaient un nouveau script ShellBot Perl sur ces machines. La version ‘pola’ contenait de nouveaux paramètres IRC, forçant les bots à rejoindre un autre serveur IRC, ce qui donnait l’impression que les opérateurs migraient des bots actifs vers un autre réseau.

Figure 5 : Opérateurs déployant un malware secondaire avec différents paramètres IRC pour déplacer les bots vers le serveur Pola

Passer au serveur Pola

L’opération suivie par X-Force était probablement assez récente. Lorsque les chercheurs ont suivi les robots migrés vers le serveur Pola, ils ont remarqué qu’il avait été créé le même jour. Il contenait déjà 143 bots, qui ont très probablement été migrés depuis d’autres canaux. Le jour suivant, le nombre de bots a doublé, suggérant qu’il devait y avoir des serveurs supplémentaires comme Blackcat déplaçant des bots de plus grande valeur vers le serveur Pola.

Une fois sur le serveur Pola, le filtrage des bots de plus grande valeur s’est poursuivi et une troisième charge utile – miner3.tgz – a été déployée sur les bots sélectionnés dans une série de commandes lancées par les opérateurs du botnet.

Le processus commence par la suppression des versions précédentes du malware ShellBot et de celles des autres cryptomineurs qui pourraient résider sur la machine/l’appareil. Une fois que la machine est débarrassée de ses concurrents potentiels, les opérateurs installent leur propre mineur. Une archive est ensuite décompressée dans un répertoire .cache, dans lequel le script .x est exécuté. Cela lance XMRig ainsi que XHide (processus hider) sur la machine infectée.

Figure 6 : Téléchargement de Cryptominer

#Armv – le canal DDoS

Les botnets de tous types, et en particulier ceux qui commandent des appareils infectés, sont souvent utilisés pour des attaques par déni de service distribué (DDoS). Avec une simple commande, les opérateurs ordonnent aux robots de naviguer vers le site Web cible et tentent de l’inonder de trafic et de provoquer un déni de service. Les botnets avaient un canal pour les bots qui ont participé à des attaques DDoS. Les inondations ont duré 500 secondes chacune et n’ont pas semblé très puissantes. Il est possible que le canal comportait quelques appareils de faible valeur ou qu’il ait été utilisé comme terrain d’essai.

OpSec par segmentation

De la façon dont les bots sont filtrés, déplacés vers d’autres botnets et exécutent de nouvelles versions de logiciels malveillants, on peut en déduire qu’il existe une sorte de segmentation à plusieurs niveaux.

Les conversations trouvées sur le serveur sont la preuve que les échanges de bots entre opérateurs sont plutôt courants, ce qui explique comment les botnets peuvent doubler rapidement de taille. L’avantage de la segmentation à plusieurs niveaux est qu’elle rend très difficile la recherche d’informations sur les serveurs IRC sur les serveurs de niveau 2 et supérieurs, car ceux-ci ne sont déployés que par les opérateurs de niveau 1. La seule façon de rejoindre un botnet de niveau 3 serait de remonter la chaîne et de suivre les scripts Perl nouvellement déployés. En cours de route, il devient beaucoup plus facile pour les différents opérateurs de botnets de filtrer les bots de recherche, augmentant ainsi la sécurité de l’opération.

Attribution

ShellBot est un code accessible au public, il est donc plus difficile de l’attribuer à un groupe. Souvent, les botnets utilisant un code répandu peuvent être utilisés par n’importe qui, mais ils peuvent voir une activité plus significative d’acteurs et de groupes spécifiques.

Liens vers les opérateurs roumains

Ce qu’IBM a trouvé tout au long de ses recherches, en particulier lors de l’infiltration de serveurs IRC, sont des indices d’une opération gérée par des maîtres bots de langue roumaine. D’une part, X-Force a trouvé des scripts Perl indiquant flood.ro comme auteur, et certaines instances de ShellBot ont été hébergées sur un site d’actualités roumain. Les scripts Perl étaient en outre liés aux canaux IRC des locuteurs roumains sur plusieurs serveurs. L’un des opérateurs a utilisé le nom d’hôte roumain blackcat.ro sur IRC. Tous les acteurs menaçants conversant dans les chaînes parlaient couramment le roumain. Ces liens avec la Roumanie s’alignent sur les renseignements sur les menaces sur ShellBot par d’autres chercheurs en sécurité au cours des dernières années.

Liens vers le gang des hors-la-loi

Le groupe de menace roumain identifié comme Outlaw, identifié en 2018, a été observé en train d’utiliser ShellBot pour cibler différentes organisations. Après avoir comparé les données des propres recherches d’IBM avec les TTP d’attaques Outlaw précédemment signalées, X-Force a trouvé des similitudes entre les TTP des acteurs de la menace et ceux des serveurs Blackcat et Pola.

Une capture d’écran du script Perl était déjà apparue dans un article de TrendMicro et est identique à l’un des échantillons utilisés pour les infections dans les cas vus par IBM. Un autre script identique est le script Pola appliqué aux bots qui ont gradué le serveur Blackcat.

Une analyse de malware menée par Yoroi sur une campagne Outlaw 2020 mentionne les mêmes scripts bash, run et upd, que X-Force a trouvés dans les cryptomineurs distribués sur le serveur Pola. Enfin, TrendMicro a publié un article sur les campagnes Outlaw, qui a découvert l’utilisation d’un ancien cache de processus, XHide, pour masquer le processus de minage XMrig. Le hachage des binaires XHide, h32 et h64, contenu dans le cryptominer correspond à celui utilisé dans l’une des campagnes Outlaw.

Est-ce la preuve que les serveurs infiltrés par IBM étaient associés au groupe Outlaw lui-même ? C’est possible, et il est également plausible que d’autres acteurs de la menace dans cet espace aient copié les TTP ou acheté les scripts à quelqu’un d’autre.

Atténuer le risque de cryptojacking malware

Les logiciels malveillants de cryptojacking peuvent être une attaque insidieuse et à long terme qui est souvent difficile à détecter, mais qui peut être dommageable de plusieurs manières : altération des performances du serveur, accumulation des coûts d’électricité et surchauffe des appareils, pour n’en nommer que quelques-unes. Ce qui expose les entreprises à un plus grand risque, c’est la résidence de logiciels malveillants sur les actifs et les appareils en réseau, ce qui peut permettre aux attaquants de renforcer leur position sur toute la ligne. Ce risque peut devenir n’importe quel autre type d’attaque compte tenu du temps et de la motivation des attaquants.

Afin de minimiser le risque d’infection ShellBot, il est essentiel de configurer correctement tous les appareils destinés au public avec des informations d’identification solides et de s’assurer que la journalisation est en place. Pour les serveurs accessibles à distance, il est judicieux d’ajouter une authentification multifacteur et de désactiver l’option d’exécution des commandes CLI à distance si cela est une exigence dont l’entreprise a besoin. De plus, tout le trafic IRC sortant doit être surveillé ou entièrement bloqué, car cela peut être un indicateur d’une infection ShellBot et d’une exfiltration potentielle de données qui n’est pas liée aux besoins de l’entreprise. La surveillance du système réseau doit être mise en œuvre pour détecter une utilisation excessive des ressources et les utilisateurs doivent être informés des risques et des signes de cryptojacking sur leurs appareils.

Indicateurs de compromis

Serveurs IRC :

  • Chat noir : 128.199.111.21
  • Même opérateur que sur Blackcat : 68.183.180.36, 159.203.14.2
  • Pola : 159.89.7.123

Téléchargement du script Pola :

  • hxxp://209.97.132.66/pola

Téléchargement XMRig :

  • hxxp://162.243.166.183/miner3.tgz

Attaques Shellbot récentes détectées sur les pots de miel d’IBM :

  • IP de l’attaquant (forçage brutal) :
    • 5.181.80.157 14/06/2021
    • 193.232.68.71 12/06/2021
    • 195.203.90.161 02/06/2021
    • 142.93.169.146 16/05/2021
    • 162.144.233.29 15/042021
  • URL de téléchargement de Shellbot
    • hxxp://51.38.105.98/a
    • hxxp://5.253.86.50/div
    • hxxps://gsmboss.clan.su/zn.jpg
    • hxxp://142.93.127.16/wp-includes/images/media/.x/px.txt
    • hxxp://58.135.80.99/a/div

Laisser un commentaire