Comment bloquer les Cryptominers

Bonjour à tous,

Ma question n'est pas franchement adaptée à la rubrique, mais elle s'adresse à toute personnes ayant des infos intéressantes !

Nous en sommes à notre deuxième infection d'un serveur avec un cryptominer. Ces "malware" ne sont pas vraiment destructeurs, mais ils calculent des bitcoins et les renvoies à son "propriétaire" par le canal ssh, au dépend de la puissance de calcul de la machine infectée.

Ils sont assez faciles à désactiver une fois qu'on a remarqué une utilisation anormale des cpu de la machine. Nous voyons également qu'il s'installent sur des comptes utilisateurs non sudoers, manifestement en ayant hijacké leur mot de passe unix. Là, il implémentent quelques binaires, une ligne dans le crontab pour recharger à intervals réguliers les jobs qui auraient été tués, et une clé ssh dans les known_hosts de l'utilisateur pour communiquer avec l'extérieur et renvoyer les bitcoins calculés.

Si ilssont par principe discrets et relativement inoffensifs (pour vivre heureux, pas de vagues), ils sont un peu chiants car il obligent à une surveillance attentive.

Le point sur lesquels j'aimerais des retours si vous en avez, c'est comment ces cryptominers procèdent pour s'installer ?. Contrairement à ce que m'a dit Renater, je ne crois pas à un vol de password par brut force, en particulier car nos serveurs sont protégés par fail2ban. Et le vol direct par "fishing" mail me parait aussi très improbable (on a enquêté auprès des utilisateurs infectés).

En revanche il semble "possible" techniquement de dissimuler en cheval de Troie ces cryptominers. J'ai vu des exemples de dissimulation dans des fork GitHub. Ce qui permet d'entrevoir une dissimulation dans des containers Docker ou autres (pas besoin de sudo), dans des packages conda, pip, dans des mises à jour apt. Mais bon, "possible" n'a pas grande valeur d'argument...

Ma question: avez vous une quelconque idée validée techniquement d'un procédé utilisé par un cryptominer pour s'implanter sur une machine cible ? Cela afin que l'on puisse mettre en place les procédures pour les bloquer.

Je précise que toute infrastructure avec beaucoup de cpu est la cible de ces malwares. Et donc l'IFB core et le cluster me paraissent des cibles de choix... Pas la peine de vous inquiéter en revanche si vous n'avez que 10 cpu dans votre machine, vous serez snobés...

Amicalement

Christophe Antoniewski

Bonjour,

Merci pour ces informations et avoir lancé ce sujet :wink:

Je pense qu'il y a deux pistes supplémentaire à envisager:

  • le fait que les utilisateurs utilisent le même mot de passe sur le cluster que sur d'autres services en ligne.
    Ce qui rend plus facile le vol d'identifiant ailleurs, et il suffit alors de le tester une seule fois sur le cluster ce qui ne lève pas l’alarme fail2ban.

  • le fait que les serveurs ne sont pas toujours mise à jour, utiliser des distribution qui ne sont plus maintenu depuis 10 ans expose à pas mal de faille de sécurité qui sont a priori régulièrement exploité.

Et pour préciser la piste des forks, il y a aussi le fait que les applications ont de plus en plus de dépendances qui ont elle même de plus en plus de dépendance. Et que en pratique les développeurs ne peuvent pas prendre le temps de lire le code et donc vérifier toutes ces dépendances.
Il y a eu plusieurs exemple récemment de package node ou python véroles sur les serveurs officiels de leur package manager (npm et pip) (je peux retrouvé des sources si nécessaire)

Voila, voila

1 J'aime

Merci François,
C'est vendredi, l'heure des idées connes: Rien de tel pour combattre un virus que de savoir l'installer ! Je lance un challenge sur le core cluster et on débbrieffe ensemble ? :-))

ah ah, le faire volontairement sur son propre compte, je pense que c'est un peu trop facile.

En discutant ailleurs, on m'a soufflé une idée intéressante:

  • Partager entre cluster une liste noire d'ip où ces cryptomineurs se connecte.

Qui a dit sur son propre compte ? Evidemment non ! sur le compte de Julien :slight_smile: