Pour gérer vos consentements :
Categories: MalwaresSécurité

LibMiner : le malware qui infectait les conteneurs Redis

Vous souvenez-vous de Graboid ?

Palo Alto Networks avait signalé, en octobre dernier, l’existence de ce ver cryptomineur se propageant par l’intermédiaire de conteneurs.

Qualys vient d’attirer l’attention sur un malware de la même espèce : LibMiner.

Comme Graboid, il est destiné à miner du Monero.
Son fonctionnement n’est toutefois pas le même : il s’appuie sur des serveurs Redis mal sécurisés.

Qualys affirme ne pas avoir pu déterminer le mécanisme d’infection initial. Il a cependant identifié plusieurs conteneurs dont le point d’entrée a été paramétré pour exécuter un script.

Ce script planifie l’exécution différée de commandes à travers une tâche Cron. Il réinitialise par ailleurs le contenu du fichier etc/hosts afin de permettre l’accès au serveur qui héberge les autres composantes du malware.

Parmi ces composantes se trouve un autre script : lib_tmp. Il vérifie la présence de certains outils de sécurité et tue les processus associés. Puis met à jour le serveur de nom pour utiliser les DNS publics de Google. Son dernier rôle est de télécharger un fichier ELF (binaire Unix) et de l’enregistrer dans /var/lib sous un nom aléatoire de 4 caractères.

Sus au port 6379

Ce binaire n’est autre que le cœur de LibMiner. Les routines qu’il contient s’exécutent en boucle infinie et téléchargent plusieurs fichiers :

  • lib_rook_t et lib_kill_t
    Ces scripts effacent toute trace d’exécution antérieure du malware, y compris en fermant les connexions réseau pour une liste d’IP et de ports prédéfinis.
  • lib_boot_t
    Ce script récupère la dernière version de LibMiner, la sauvegarde sous un nom aléatoire dans /tmp et l’exécute. Il copie aussi le fichier dans /etc/init.d/symcfget pour assurer une persistance.
  • lib_config_t et glib
    Glib permet le minage de Monero. lib_config_t contient ses paramètres, dont l’adresse du portefeuille.
  • sider_t
    Ce script sert à infecter les conteneurs exécutant un serveur Redis mal protégé (au niveau du port 6379, utilisé par défaut). Il récupère l’IP des conteneurs et utilise la force brute sur les deux derniers segments de cette IP pour tenter d’étendre l’infection aux systèmes Linux qui exposent leur port 6379.
    Une fois la connexion établie, plusieurs fichiers sont placés dans le conteneur et la boucle d’infection recommence.

Plusieurs techniques permettent de rendre LibMiner plus discret et plus résistant :

  • la création de processus fils dotés d’un nouveau nom et d’un nouvel identifiant
  • un timeout très faible pour la console root
  • l’invisibilité des commandes entrées dans la commande

Photo d’illustration © Eugène Sergueev – Shutterstock.com

Recent Posts

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

2 jours ago

Géolocalisation en entreprise : un suivi proportionné ?

Utilisés dans le cadre professionnel, smartphones et véhicules peuvent être géolocalisés par l'employeur. Qu'en pensent…

2 jours ago

Salesforce : avec Bret Taylor, Marc Benioff prépare sa succession

Promu co-CEO, Bret Taylor pilote avec Marc Benioff le prochain chapitre de Salesforce. Leurs mots…

2 jours ago

Data et cybersécurité : les métiers les plus mouvants du SI ?

Les métiers de la data et de la cybersécurité concentrent une part importante des évolutions…

2 jours ago

Teams Essentials : une réponse à la Commission européenne ?

Microsoft dégaine une offre qui permet d'accéder à Teams indépendamment de sa suite bureautique cloud.…

3 jours ago

« Convergences numériques 2022 » : le Cigref, Numeum et d’autres interpellent les présidentiables

Cigref, Numeum, Cinov, Afnum... L'industrie numérique française sert les rangs pour peser sur les programmes…

3 jours ago