Mirai NoaBot : protéger les serveurs contre les menaces liées au minage de cryptomonnaies
Dans le domaine de la cybersécurité, un nouveau botnet basé sur le réseau botnet basé sur Mirai basé sur Mirai, connu sous le nom de Mirai NoaBot est apparu, constituant une menace importante pour les serveurs Linux depuis le début de l'année 2023. Les données télémétriques d'Akamai, dérivées de pots de miel, révèlent une croissance constante des infections par NoaBot, avec un pic de taille enregistré le mois dernier.
Ce billet de blog examine les subtilités de l'utilisation du logiciel malveillant NoaBot. L'avertissement de la FTC sur le logiciel malveillant NoaBotIl met en lumière son origine, son mode opératoire et les mesures que les organisations peuvent prendre pour protéger leurs systèmes.
Les tactiques de Mirai NoaBot dévoilées
Les chercheurs d'Akamai ont découvert que NoaBot s'appuie sur des attaques par dictionnaire d'identifiants SSH pour effectuer des déplacements latéraux. Avec plus de 800 adresses IP uniques présentant des signes d'infection dans le monde entier, 10 % de ces cas ont été retracés en Chine. NoaBot exploite les vulnérabilités du serveur SSH souvent négligées par les organisations - de simples identifiants SSH. L'alerte de la alerte de la FTC sur les attaques de serveurs cryptographiques souligne le nombre croissant de menaces dans l'espace numérique.
Évolution de Mirai à NoaBot
Mirai, initialement un botnet DDoS en 2016, a ouvert la voie à d'autres botnets Linux à autopropagation, certains se concentrant sur des attaques DDoSd'autres sur le crypto-minage, et quelques-uns sur les deux. NoaBot, un dérivé de Mirai, se distingue par ses modifications, remplaçant principalement le scanner Telnet par un scanner SSH.
Cette évolution est logique, car les serveurs Linux, contrairement aux dispositifs intégrés, sont plus susceptibles d'activer SSH. C'est pourquoi, la protection contre Mirai NoaBot est primordiale pour garantir la sécurité des serveurs Linux face à l'évolution des cybermenaces.
Les caractéristiques uniques de NoaBot
Les créateurs de NoaBot ont apporté d'importantes modifications au code source de Mirai, afin de lui conférer une identité distincte. Ils ont remplacé le compilateur GCC par uClib, ce qui rend son code binaire très différent de celui de Mirai. Le scanner SSH de NoaBot laisse notamment une signature claire : lors d'une connexion SSH acceptée, le client du botnet envoie le message non conventionnel suivant "hi". qui peut être utilisé pour créer une signature de pare-feu.
Mécanismes de persistance et fonctionnalité des portes dérobées
NoaBot introduit un mécanisme de persistance appelé "noa". garantissant sa présence continue même si l'authentification par mot de passe est désactivée. Ce mécanisme implique l'ajout d'une clé contrôlée par l'attaquant aux clés SSH autorisées. En outre, le cryptocurrency mining malware agit comme une porte dérobée, téléchargeant des binaires supplémentaires et créant une entrée crontab pour s'assurer qu'il démarre après un redémarrage du système.
Attaques de serveurs d'extraction de crypto-monnaie
NoaBot intègre XMRig, un programme de minage de crypto-monnaies à code source ouvert très répandu. Les auteurs de la menace derrière NoaBot ont toutefois apporté des modifications avancées à XMRig, dissimulant et chiffrant sa configuration, en particulier l'adresse IP du pool de minage. Les chercheurs supposent notamment que les auteurs de la menace gèrent un pool privé, éliminant ainsi la nécessité de spécifier un portefeuille et conservant ainsi le contrôle sur les crypto-monnaies collectées.
Connexion P2PInfect
Les chercheurs d'Akamai ont identifié un lien potentiel entre les créateurs de NoaBot et une version personnalisée de P2PInfectun ver autoreproducteur écrit en Rust. P2PInfect cible les serveurs Redis en exploitant une vulnérabilité Lua.
Bien que les raisons pour lesquelles les acteurs de la menace sont passés de Mirai à P2PInfect ne soient pas claires, les chercheurs suggèrent que l'utilisation d'un code personnalisé peut indiquer un désir d'accroître la difficulté de l'ingénierie inverse.
Protocoles de protection de Mirai NoaBot
La cybersécurité des serveurs SSH est un aspect essentiel de la protection des données sensibles et du maintien de l'intégrité du réseau. L'équipe d'Akamai a partagé de manière proactive une liste d'indicateurs de compromission sur son dépôt GitHub, ainsi que des signatures de détection YARA conçues pour identifier les binaires NoaBot.
Outre l'utilisation de ces ressources, il est vivement conseillé aux organisations d'adopter des pratiques standard de renforcement de SSH. Il s'agit notamment de restreindre l'accès SSH aux adresses IP de confiance et de mettre en œuvre une authentification par clé, qui sont des mesures efficaces contre les attaques par dictionnaire.
Conclusion
Le paysage de la cybersécurité continue d'évoluer, les cybermenaces Mirai NoaBot soulignent l'importance de mesures de défense proactives. En comprenant les tactiques employées par ces botnets et en adoptant les meilleures pratiques, les organisations peuvent renforcer leurs systèmes contre les accès non autorisés, les violations de données et les perturbations potentielles. La vigilance, la surveillance continue et le respect des protocoles de sécurité sont essentiels pour se prémunir contre les risques de sécurité liés aux appareils Risques liés à la sécurité des appareils IoT.
Les organisations doivent rester informées des activités malveillantes activités malveillantes émergentes dans le domaine du minage de crypto-monnaies et exploiter les ressources disponibles pour la détection et la prévention. En outre, elles doivent également envisager solutions de correctifs automatisées afin de minimiser les temps d'arrêt et de garantir des protocoles de sécurité robustes.
Les sources de cet article comprennent des articles dans The Hacker News et CSO.