SkidMap Linux : une nouvelle variante du logiciel malveillant ciblant les serveurs Redis vulnérables

« La nature malveillante de ce logiciel malveillant est de s’adapter au système sur lequel il est exécuté », a déclaré Radoslaw Zdonczyk, chercheur en sécurité chez Trustwave, dans une analyse publiée la semaine dernière.

Parmi les distributions Linux sur lesquelles SkidMap jette son dévolu figurent Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat et Rocky.

SkidMap a été révélé pour la première fois par Trend Micro en septembre 2019 en tant que botnet de minage de crypto-monnaie ayant la capacité de charger des modules de noyau malveillants qui peuvent obscurcir ses activités ainsi que surveiller le processus de minage.

Les opérateurs du logiciel malveillant ont également été trouvés en train de camoufler leur adresse IP de commande et de contrôle (C2) de sauvegarde sur la blockchain Bitcoin, évocatrice d’un autre logiciel malveillant de botnet connu sous le nom de Glupteba.

« La technique consistant à récupérer des données en temps réel à partir d’une source de données décentralisée et essentiellement non censurable pour générer une adresse IP C2 rend l’infection difficile à neutraliser et rend le pivotement de l’adresse IP C2 simple et rapide « , a noté Akamai en février 2021.

La dernière chaîne d’attaque documentée par Trustwave implique l’ouverture d’une brèche dans des instances de serveur Redis mal sécurisées pour déployer un script shell dropper conçu pour distribuer un binaire ELF qui se fait passer pour un fichier image GIF.

Le binaire ajoute ensuite des clés SSH au fichier « /root/.ssh/authoried_keys », désactive SELinux, établit un shell inversé qui interroge un serveur contrôlé par l’acteur toutes les 60 minutes et télécharge finalement un paquetage approprié (nommé gold, stream ou euler) en fonction de la distribution Linux et du noyau utilisé.

Le paquet, quant à lui, est accompagné de plusieurs scripts shell pour installer les modules du noyau et prendre des mesures pour effacer les traces en purgeant les journaux, et lancer un composant botnet capable de récupérer des charges utiles rootkit supplémentaires : mcpuinfo.ko ,pour cacher le processus de minage ,et kmeminfo.ko ,pour analyser la modification ou l’abandon de paquets réseau .

Le binaire du mineur lui-même est également téléchargé, bien que dans certaines variantes, un « mineur intégré à partir d’un fichier binaire ‘GIF’ extrait » soit utilisé.

« Le niveau d’avancement de ce logiciel malveillant est vraiment élevé, et sa détection, en particulier dans les grandes infrastructures de serveurs, peut s’avérer très difficile », a déclaré Zdonczyk. En le testant sur des ordinateurs domestiques, le seul indicateur sérieux que quelque chose n’allait pas était le fonctionnement excessif des ventilateurs et, dans le cas des ordinateurs portables, la température de l’ordinateur.