RedTail : Analyse approfondie d'une campagne de cryptojacking persistante

Hippolyte Valdegré

RedTail : Analyse approfondie d’une campagne de cryptojacking persistante

Dans le paysage cybercriminel actuel, si le ransomware monopolise souvent l’attention en raison de son impact immédiat et visible, une menace plus discrète mais tout aussi préoccupante gagne en importance : le cryptojacking. Ces dernières années, nous avons observé une multiplication d’attaques visant à subtiliser discrètement les ressources de calcul des systèmes pour exploiter des cryptomonnaies, souvent sans que les victimes ne s’en rendent compte. Parmi ces campagnes, RedTail se distingue comme un malware particulièrement sophistiqué et persistant, ciblant spécifiquement le Monero cryptocurrency. Selon les analyses menées par l’Internet Storm Center, ce malware a été observé de manière répétée au cours des trois derniers mois, démontrant une évolution constante dans ses techniques d’infiltration et de persistance. Cet article examine en détail le fonctionnement de RedTail, cartographie ses tactiques selon le framework MITRE ATT&CK, et propose des stratégies de défense efficaces pour contrer cette menace croissante.

Le malware RedTail : Caractéristiques et méthodes d’infiltration

Origines et évolution du malware

RedTail, un malware de cryptojacking spécialisé dans l’extraction de Monero, a été identifié pour la première fois au début de l’année 2024. Contrairement aux campagnes de minage plus rudimentaires, RedTail se distingue par son approche systématique et sa capacité à établir une persistance durable sur les systèmes compromis. L’analyse des activités observées par les chercheurs en sécurité révèle que ce malware a évolué de manière significative depuis sa première apparition, avec des modifications constantes dans son code pour éviter les détections traditionnelles basées sur les indicateurs de compromission (IOCs).

Techniques d’infiltration principales

Les campagnes RedTail exploitent principalement deux vecteurs d’entrée pour infecter les systèmes cibles :

  1. Brute-force SSH : Les attaquants lancent des campagnes d’essai et erreur pour obtenir des accès non autorisés via des connexions SSH. Cette méthode reste particulièrement efficace face aux mots de passe faibles ou par défaut.

  2. Exploitation de vulnérabilités : RedTail profite activement des vulnérabilités non corrigées dans les logiciels et services exposés, notamment dans les serveurs web et les applications PHP.

Une fois l’accès initial obtenu, le malware déploie un ensemble de scripts pour établir sa présence et lancer processus de minage. Ces scripts comprennent généralement :

  • setup.sh : Configure l’environnement d’exécution du mineur
  • clean.sh : Supprime les processus de minage concurrents pour garantir l’exclusivité des ressources
  • Des scripts de persistance pour s’assurer que le mineur redémarre automatiquement après un redémarrage du système

Cibles et objectifs des attaquants

Les campagnes RedTail privilégient les serveurs Linux et les systèmes Unix-like, en particulier ceux exposés sur Internet avec des services SSH accessibles. Les attaquants ciblent ces environnements car ils offrent généralement de plus grandes capacités de calcul par rapport aux postes de travail traditionnels.

L’objectif principal est clairement monétaire : l’exploitation illégale des ressources système pour miner du Monero, une cryptomonnaie appréciée pour son anonymat relatif. Cependant, l’analyse des comportements observés révèle que RedTail représente bien plus qu’un simple mineur. Les attaquants derrière ce malware établissent des infrastructures de persistance complexes, s’assurent l’exclusivité des ressources système, et prennent des mesures pour éviter la détection – comportements typiques d’une campagne beaucoup plus sophistiquée que le simple cryptojacking.

Cartographie MITRE ATT&CK : Comprendre le cycle de vie de l’attaque

Le framework MITRE ATT&CK offre une structure idéale pour analyser et comprendre les tactiques, techniques et procédures (TTPs) employées par les campagnes RedTail. Cette cartographie permet aux défenseurs d’identifier des schémas de comportement qui peuvent être détectés, même lorsque les indicateurs spécifiques changent constamment.

Phase PRE-ATT&CK : Reconnaissance et préparation

Bien que les premières phases d’une attaque ne soient pas toujours visibles dans les journaux, les activités ultérieures observées dans les honeypots permettent de reconstituer la phase de pré-attaque :

  • Reconnaissance (T1595.001 : Active Scanning – Scanning IP Block) : Les attaquants scannerent les plages d’adresses IP à la recherche de services exposés et vulnérables. Cette activité de découverte cible spécifiquement les systèmes avec des services SSH accessibles.

  • Weaponization (T1587.001 : Develop Capabilities – Malware et T1608.001 : Stage Capabilities – Upload Malware) : Les attaquants préparent et conditionnent leur payload pour le déploiement, modifiant régulièrement le code pour éviter les détections basées sur les signatures.

Phase d’initial accès et d’exécution

Une fois la cible identifiée, RedTail emploie plusieurs techniques pour établir une présence initiale :

  • Initial Access (T1078.002 : Valid Accounts – Local Account) : Par la méthode du brute-force, les attaquants obtiennent des identifiants valides pour se connecter via SSH. Cette technique reste particulièrement efficace face aux mots de passe faibles.

  • Execution (T1059.004 : Command and Scripting Interpreter – Unix Shell) : Après l’accès initial, les attaquants exécutent les scripts setup.sh et clean.sh pour préparer l’environnement et éliminer toute concurrence potentielle pour les ressources système.

Phase de persistance et d’évitement des défenses

RedTail excelle dans l’établissement de mécanismes de persistance et dans l’évitement des défenses :

  • Persistence (T1098.004 : Account Manipulation – SSH Authorized Keys) : Les attaquants implantent leurs propres clés SSH dans le fichier ~/.ssh/authorized_keys, leur permettant de revenir sur le système à volonté sans avoir à répéter les tentatives de brute-force.

  • Defense Evasion (T1070.004 : Indicator Removal – File Deletion) : Après l’installation, les attaquants suppriment des fichiers pour couvrir leurs traces, rendant l’analyse post-incident plus difficile.

  • Discovery (T1082 : System Information Discovery) : Avant de déployer RedTail, les attaquants interrogent le système pour confirmer sa compatibilité avec le malware, optimisant ainsi leur retour sur investissement.

Phase de command and control et d’impact

La phase finale de la campagne RedTail établit la communication avec les attaquants et exécute l’objectif principal :

  • Command and Control (T1071.001 : Application Layer Protocol – Web Protocols) : Le malware génère un trafic sortant HTTPS (port 443) vers des serveurs de pools miniers malveillants. Ce trafic, chiffré, peut être difficile à détecter sans analyse approfondie.

  • Impact (T1496.001 : Resource Hijacking – Compute Hijacking) : RedTail utilise les cycles CPU du système compromis pour miner du Monero, créant ainsi des coûts financiers indirects pour la victime (facturation d’électricité supplémentaire, ralentissement des applications légitimes) et potentiellement des impacts opérationnels si les ressources système sont significativement affectées.

Observations uniques du honeypot : Comportements avancés

Les données collectées par les honeypots, notamment DShield, ont révélé plusieurs comportements spécifiques aux campagnes RedTail qui méritent une attention particulière de la part des défenseurs.

Stratégies d’accès initial

Les analyses des tentatives d’infection montrent une approche méthodique pour obtenir l’accès initial aux systèmes :

  • Brute-force SSH coordonné : Contrairement aux attaques aléatoires, les campagnes RedTail utilisent des listes d’identifiants et de mots de passe courants, souvent adaptés en fonction du système cible. Cette approche systématique augmente considérablement les chances de succès.

  • Exploration de vulnérabilités spécifiques : Les attaquants montrent une connaissance des vulnérabilités récentes, exploitant rapidement les nouvelles failles dans les systèmes et applications non corrigés.

Mécanismes de persistance

Une fois l’accès obtenu, RedTail implante plusieurs mécanismes pour assurer sa persistance :

  • Implantation de clés SSH : La modification du fichier ~/.ssh/authorized_keys permet aux attaquants de revenir sur le système sans authentification, rendant leur détection beaucoup plus difficile.

  • Création de services système : Le malware configure souvent des services systemd ou des cron jobs pour s’assurer que ses processus redémarrent automatiquement après un redémarrage du système ou une tentative de suppression.

  • Élimination de la concurrence : L’exécution du script clean.sh ne se contente pas de supprimer les autres mineurs ; elle efface également les traces des activités précédentes, y compris les tentatives d’infection par d’autres campagnes.

Techniques d’évitement de la détection

RedTail intègre plusieurs mécanismes pour éviter la détection et l’analyse :

  • Chiffrement du trafic C2 : La communication avec les pools miniers utilise des canaux chiffrés (HTTPS), rendant l’inspection de contenu difficile sans déchiffrement spécifique.

  • Minimisation de l’empreinte système : Le malware s’efforce d’utiliser un minimum de ressources système pour ne pas attirer l’attention, tout en s’assurant d’obtenir une part suffisante des CPU pour un minage rentable.

  • Dissimulation des processus : Les processus de minage sont souvent renommés pour ressembler à des processus légitimes du système, trompant ainsi les administrateurs système.

Stratégies de défense : Prévention et détection

La défense efficace contre RedTail et autres malwares de cryptojacking nécessite une approche en deux étapes : prévention robuste et détection/réponse active. Cette stratégie multicouche est essentielle face à une menace qui évolue constamment.

Renforcement des défenses préventives

La première ligne de défense consiste à rendre l’exploitation du système aussi difficile que possible pour les attaquants.

Authentification sécurisée

L’authentification SSH représente souvent la première ligne de défense contre les campagnes RedTail :

  • Utilisation de l’authentification par clé SSH : Désactiver complètement la connexion par mot de passe pour SSH et ne permettre que l’authentification par clé publique. Cette mesure élimine la possibilité d’attaques par brute-force sur les identifiants.

  • Restriction des clés autorisées : Maintenir une liste stricte des clés SSH autorisées dans ~/.ssh/authorized_keys et surveiller toute modification suspecte de ce fichier.

  • Désactivation de la connexion root : Configurer SSH pour interdire les connexions directes avec le compte root (PermitRootLogin no), forçant ainsi une connexion via un compte utilisateur normal avant d’obtenir les privilèges élevés.

Gestion des accès

La gestion rigoureuse des accès réduit considérablement la surface d’attaque :

  • Limitation des tentatives de connexion : Implémenter des outils comme fail2ban pour bloader automatiquement les adresses IP après un certain nombre de tentatives de connexion échouées.

  • Isolation des services exposés : Placer les systèmes avec des services accessibles depuis l’Internet dans des zones démilitarisées (DMZ) séparées des systèmes de production sensibles.

  • Principe du moindre privilège : Configurer tous les comptes avec les autorisations minimales nécessaires pour leurs fonctions, limitant ainsi l’impact d’une compromission.

Mise à jour et maintenance

La maintenance proactive est essentielle pour éviter l’exploitation des vulnérabilités :

  • Processus de mise à jour régulier : Mettre en place un processus automatisé pour appliquer rapidement les correctifs de sécurité, en particulier pour les services exposés comme SSH, les serveurs web et les applications PHP.

  • Inventaire des actifs : Maintenir un inventaire précis de tous les systèmes et logiciels, permettant d’identifier rapidement les éléments nécessitant des mises à jour ou des corrections de sécurité.

Segmentation réseau

La segmentation réseau limite la propagation potentielle d’une compromission :

  • Séparation des environnements : Isoler les systèmes de test, de développement et de production les uns des autres pour éviter qu’une compromission dans un environnement ne se propage aux autres.

  • Contrôles d’accès granulaires : Implémenter des listes de contrôle d’accès (ACL) strictes pour limiter la communication entre les différents segments du réseau.

Surveillance des connexions

La surveillance proactive des connexions peut révéler des activités suspectes avant qu’elles n’entraînent une compromission complète :

  • Détection des scans de port : Surveiller les tentatives de scan de port, en particulier celles ciblant les services courants comme SSH, FTP et RDP.

  • Analyse du trafic sortant : Surveiller les connexions sortantes vers des destinations inhabituelles ou suspectes, notamment les pools miniers connus.

Détection et réponse aux menaces

Malgré toutes les mesures préventives, certaines campagnes peuvent contourner les défenses. La détection et la réponse efficaces sont donc cruciales pour minimiser l’impact d’une compromission.

Indicateurs de compromission

La surveillance des indicateurs de compromission spécifiques à RedTail permet une détection précoce :

  • Activité SSH suspecte : Surveillance des connexions SSH multiples depuis différentes adresses IP en peu de temps, particulièrement si elles suivent un modèle de tentative/échec/connexion réussie.

  • Modifications des fichiers système : Surveillance des changements dans les fichiers ~/.ssh/authorized_keys, /etc/crontab et les répertoires de démarrage des services systemd.

  • Processus inhabituels : Détection de processus consommant significativement les ressources CPU sans être associés à des applications légitimes connues.

Techniques de détection basée sur les TTPs

La détection basée sur les TTPs du framework MITRE ATT&CK offre une approche plus robuste que la simple recherche d’indicateurs spécifiques :

  • Surveillance du brute-force SSH : Implémenter des alertes pour les tentatives répétées de connexion SSH échouées, même si elles ne proviennent pas d’une même adresse IP (les attaquants utilisent souvent des réseaux de machines compromises pour distribuer leurs attaques).

  • Détection des clés SSH non autorisées : Mettre en place un système de surveillance des modifications du fichier ~/.ssh/authorized_keys, avec alertes pour toute nouvelle clé ajoutée sans autorisation explicite.

  • Surveillance des services système suspects : Surveiller la création de nouveaux services systemd ou cron jobs, en particulier ceux lancés avec des privilèges élevés ou associés à des scripts inhabituels.

  • Analyse du trafic réseau : Surveiller les connexions sortantes vers des destinations connues pour héberger des pools miniers ou des infrastructures C2 associées au cryptojacking.

Procédures de réponse incident

En cas de détection d’une infection RedTail, une réponse rapide et structurée est essentielle pour minimiser l’impact :

  • Isolement immédiat : Isoler le système compromis du réseau pour empêcher la propagation potentielle à d’autres systèmes et pour interrompre la communication avec les attaquants.

  • Documentation des artefacts : Documenter tous les artefacts de l’infection avant toute tentative de nettoyage, y compris les processus actifs, les fichiers modifiés et les connexions réseau, afin de permettre une analyse forensique approfondie.

  • Suppression des clés SSH attaquants : Supprimer immédiatement toutes les clés SSH non autorisées du fichier ~/.ssh/authorized_keys.

  • Termination des processus malveillants : Arrêter tous les processus associés à RedTail, y compris les scripts de démarrage automatique.

  • Restauration à partir d’une image propre : Reconstruire le système à partir d’une image de sauvegarde propre plutôt que de tenter un nettoyage manuel, qui pourrait laisser des artefacts résiduels.

Surveillance continue et amélioration

La sécurité est un processus continu qui nécessite une surveillance constante et des améliorations régulières :

  • Surveillance des tentatives de réinfection : Après une compromission, surveiller particulièrement les tentatives de réinfection, car les attaquants reviennent souvent sur des systèmes compromises précédemment.

  • Analyse des nouvelles TTPs : Utiliser les données des honeypots pour identifier de nouvelles techniques utilisées par les campagnes RedTail et d’autres menaces similaires, et intégrer ces informations dans les stratégies de détection.

  • Tests de pénétration réguliers : Effectuer des tests de pénétration périodiques pour valider l’efficacité des défenses et identifier les points faibles avant qu’ils ne soient exploités par des attaquants.

Conclusion : Vers une approche proactive de la sécurité

L’analyse approfondie des campagnes RedTail démontre que le cryptojacking représente bien plus qu’une simple nuisance discrète. Cette menace évolue constamment, intégrant des techniques de persistance complexes et des mécanismes sophistiqués d’évitement des défenses. Alors que les campagnes de minage cryptojacking peuvent sembler moins percutives que le ransomware ou d’autres formes d’attaque directe, leur impact cumulé sur les organisations est considérable, allant de la consommation d’énergie non autorisée aux potentielles compromissions plus larges des systèmes.

La défense efficace contre RedTail et autres malwares de cryptojacking repose sur une approche multicouche combinant prévention robuste, détection basée sur les comportements et réponse structurée. L’utilisation du framework MITRE ATT&CK pour cartographier les TTPs des attaquants offre aux défenseurs un langage commun et une structure pour comprendre les menaces et développer des stratégies de détection appropriées.

Dans un environnement où les attaquants continuent d’affiner leurs techniques et où les vulnérabilités émergent constamment, la vigilance reste la meilleure défense. Les organisations doivent adopter une approche proactive de la sécurité, en mettant en place des contrôles stricts sur l’accès aux systèmes, en maintenant une maintenance proactive des correctifs de sécurité, et en développant des capacités de détection et de réponse basées sur les comportements plutôt que sur des indicateurs spécifiques.

En tant que professionnels de la cybersécurité, nous avons la responsabilité de sensibiliser les organisations aux risques du cryptojacking et de fournir des stratégies de défense adaptées. En comprenant en détail les campagnes comme RedTail, nous pouvons mieux anticiper les menaces futures et développer des défenses plus résilientes face à un paysage cybercriminel en constante évolution.