Redtail : comprendre cette menace de cryptojacking émergente et se défendre efficacement

Théophane Villedieu

Redtail : comprendre cette menace de cryptojacking émergente et se défendre efficacement

Dans un paysage cybercriminel dominé par le rançongiciel, une menace discrète mais persistante gagne du terrain : le cryptojacking. Parmi les logiciels malveillants les plus récents, Redtail se distingue par sa méthode d’infection sophistiquée et son impact subtil mais coûteux. Selon une étude menée par SANS, ce malware spécialisé dans l’extraction de Monero a été observé de manière répétée au cours des derniers mois, avec des techniques d’attaque qui dépassent largement le simple minage de cryptomonnaies. Alors que les attaques de cryptojacking ne provoquent pas de perturbation visible comme le rançongiciel, elles représentent une menace économique et opérationnelle significative pour les organisations de toutes tailles.

Redtail : une menace de cryptojacking sous-estimée

Le cryptojacking agit comme un intrus silencieux qui s’installe sans être détecté, s’établit dans les systèmes et détourne les ressources de calcul pour miner de la cryptomonnaie en arrière-plan, tandis que la victime reste souvent inconsciente de la présence du malware. Contrairement au rançongiciel qui bloque immédiatement les fichiers et exige une rançon, Redtail opère en coulisses, ce qui explique pourquoi il reçoit moins d’attention médiatique et de ressources de défense. Cependant, les récentes observations de DShield révèlent que les campagnes Redtail sont plus sophistiquées qu’on ne le pensait initialement.

Origines et évolution du malware Redtail

Redtail, un malware de cryptojacking cibleant principalement la cryptomonnaie Monero, a été pour la première fois observé début 2024. Son évolution rapide a permis aux attaquants de développer des variantes avec différents hash, rendant les simples indicateurs de compromis (IOC) obsolètes rapidement. Cette capacité à muter rapidement représente un défi majeur pour les équipes de sécurité qui dépendent traditionnellement des listes de signatures pour détecter les menaces. Les chercheurs en sécurité constatent que les campagnes Redtail évoluent constamment, adoptant de nouvelles techniques d’infection et de persistance.

Méthodes d’infection principales

Les infections Redtail se produisent principalement par deux vecteurs :

  1. Brute-force SSH : Les attaquants tentent d’accéder aux systèmes en testant des combinaisons de noms d’utilisateur et de mots de passe jusqu’à trouver des valides. Cette méthode reste efficace en raison des mots de passe faibles ou par défaut.

  2. Exploitation de vulnérabilités : Redtail exploite des failles logicielles pour s’installer, notamment des vulnérabilités dans des systèmes comme PAN-OS ou des applications PHP. Une fois la faille exploitée, le malware déploie des scripts pour établir sa persistance et lancer les processus de minage.

Ces méthodes d’infection révèlent des faiblesses systémiques dans les environnements d’entreprise, notamment en matière de gestion des identités et des accès, et de gestion des correctifs de sécurité.

Analyse des tactiques, techniques et procédures (TTP) Redtail selon MITRE ATT&CK

Pour contrer efficacement les menaces comme Redtail, il est essentiel de comprendre leur modus operandi. Le cadre MITRE ATT&CK fournit une taxonomie complète des tactiques, techniques et procédures utilisées par les attaquants, permettant aux défenseurs de mieux détecter et répondre aux campagnes. L’analyse des activités Redtail observées dans les honeypots révèle une séquence d’attaques complète, allant de la reconnaissance initiale à la maintenance de l’accès.

Phase PRE-ATT&CK : préparation discrète mais méthodique

Bien que les premières phases d’une attaque - la reconnaissance et l’armement - ne soient pas toujours visibles dans les journaux, les activités ultérieures observées dans les honeypots confirment leur existence.

  • Reconnaissance (T1595.001) : Les attaquants balayent des plages d’adresses IP à la recherche de services exposés. Cette technique leur permet d’identifier des cibles potentielles avant de lancer l’attaque principale.

  • Armement (T1587.001, T1608.001) : Une fois les cibles identifiées, les attaquants développent ou conditionnent leurs charges utiles malveillantes et les mettent à disposition pour la livraison. Cette préparation méticuleuse augmente les chances de succès de l’attaque.

Ces activités de préparation, bien que subtiles, sont cruciales pour comprendre comment les campagnes Redtail sont orchestrées et comment elles peuvent être détectées plus tôt dans le cycle d’attaque.

Phase ATT&CK : de l’accès initial à l’impact

La phase d’ATT&CK comprend les étapes de Livraison, Exploitation, Contrôle, Exécution et Maintien. L’analyse des activités Redtail révèle une séquence d’attaques bien définie qui exploite plusieurs techniques connues.

Livraison et accès initial

L’analyse des honeypots montre que les attaquants utilisent principalement deux méthodes pour initier l’infection :

  • Accès initial via SSH (T1078.002) : Les attaquants tentent des connexions SSH par force brute, réussissant finalement à accéder aux systèmes en utilisant des identifiants valides. Cette méthode reste prévalente en raison des mots de passe faibles et des configurations SSH par défaut.

  • Exécution de scripts (T1059.004) : Une fois l’accès obtenu, les attaquants exécutent des scripts comme clean.sh et setup.sh pour préparer l’environnement d’exécution. Ces scripts configurent le système pour le minage et éventuellement nettoient d’autres processus concurrents.

  • Persistance via SSH (T1098.004) : Pour maintenir l’accès aux systèmes compromis, les attaquants implantent leurs propres clés SSH dans le fichier ~/.ssh/authorized_keys. Cette technique leur permet de revenir à tout moment, contournant ainsi les contrôles de mot de passe.

Ces techniques d’accès initial et de persistance sont particulièrement efficaces car elles exploitent des faiblesses courantes dans les configurations système et les pratiques de gestion des accès.

Exploitation et exécution

Une fois l’accès établi, les attaquants passent à l’étape suivante de leur campagne :

  • Évasion de la défense (T1070.004) : Les attaquants suppriment des fichiers pour effacer leurs traces, rendant la détection et l’analyse post-incident plus difficiles. Cette technique de nettoyage est typique des campagnes sophistiquées qui cherchent à maximiser leur durée de présence sur les systèmes cibles.

  • Découverte du système (T1082) : Avant de déployer Redtail, les attaquants interrogent les informations système pour vérifier la compatibilité. Cette étape de découverte garantit que le malware fonctionnera correctement sur la cible, augmentant ainsi son efficacité.

Ces activités révèlent une approche méthodique de la part des attaquants, qui ne se contentent pas de déployer le malware mais s’assurent d’optimiser son fonctionnement tout en minimisant les chances de détection.

Maintien et impact

La phase finale de l’attaque Redtail se concentre sur le maintien de l’accès et l’impact sur les systèmes compromis :

  • Commande et contrôle (C2) (T1071.001) : Les systèmes infectés émettent du trafic HTTPS sortant (port 443) vers des serveurs de pools de minage malveillants. Ce trafic chiffré permet aux attaquants de communiquer avec les systèmes infectés tout en évitant la détection par les systèmes de prévention des intrusions basés sur des signatures.

  • Impact (T1496.001) : Redtail détourne les cycles CPU pour miner de la cryptomonnaie, créant ainsi des coûts financiers et de performance pour les victimes. Bien que subtile, cette activité peut avoir un impact significatif sur les systèmes critiques, notamment dans les environnements à haute performance.

Ces techniques de maintien et d’impact illustrent comment les campagnes Redtail sont conçues non seulement pour générer des revenus pour les attaquants, mais aussi pour persister dans les systèmes cibles le plus longtemps possible.

Observations uniques des honeypots : au-delà du cryptojacking simple

Bien que Redtail soit principalement connu pour ses capacités de cryptojacking, les observations des honeypots ont révélé plusieurs comportements notables qui dépassent le simple minage de cryptomonnaies. Ces observations sont particulièrement pertinentes pour les défenseurs cherchant à comprendre la véritable nature des menaces et à adapter leurs stratégies de détection et de réponse.

Comportements d’attaque avancés

Les analyses des honeypots ont mis en évidence plusieurs comportements d’attaque sophistiqués :

  • Accès SSH par force brute : Les attaquants utilisent systématiquement des attaques par force brute sur les services SSH avant de déployer Redtail. Cela confirme que les identifiants faibles restent un vecteur d’entrée actif et prévalent.

  • Configuration basée sur des scripts : Après avoir obtenu l’accès, les attaquants téléchargent et exécutent setup.sh pour configurer le mineur. Ils exécutent également clean.sh pour supprimer d’autres processus de cryptominage concurrents, garantissant ainsi que Redtail dispose d’un accès exclusif aux ressources système.

  • Persistance via des clés SSH : Les attaquants implantent leurs propres clés SSH dans ~/.ssh/authorized_keys, leur permettant de revenir sans avoir à répéter les tentatives de force brute. Cette technique améliore considérablement leur persistance sur les systèmes compromis.

  • Évasion de la défense : Les journaux enregistrent des commandes de suppression de fichiers, indiquant que les attaquants tentent de couvrir leurs traces après l’installation. Cette tactique d’évation est typique des campagnes avancées cherchant à maximiser leur durée de présence.

Ces comportements révèlent que les campagnes Redtail sont bien plus que des simples opérations de cryptojacking. Elles représentent des campagnes complètes d’infestation et d’extraction de valeur, avec des tactiques de persistance et d’évasion sophistiquées.

Implications pour la sécurité des entreprises

Les observations des honeypots ont plusieurs implications importantes pour les équipes de sécurité d’entreprise :

  • Nécessité d’une approche multicouche : Les campagnes Redtail ne peuvent être efficacement contrées par des défenses uniques. Une approche multicouche, combinant prévention, détection et réponse, est essentielle pour faire face à cette menace complexe.

  • Importance de la gestion des identités : L’utilisation répétée de l’accès SSH par force brute souligne l’importance cruciale de la gestion des identités et des accès, y compris l’authentification forte et la gestion rigoureuse des mots de passe.

  • Besoin d’une visibilité accrue : Les tactiques d’évasion des attaquants, telles que la suppression de fichiers et l’utilisation de trafic chiffré, soulignent la nécessité d’une visibilité approfondie sur les activités système et réseau pour détecter les anomalies.

  • Valeur des honeypots : Les honeypots comme DShield jouent un rôle crucial dans la capture de nouveaux TTP et l’amélioration des défenses. Leur déploiement stratégique peut fournir des informations précoces sur les menaces émergentes.

Ces observations confirment que la menace Redtail évolue rapidement et que les défenseurs doivent adapter continuellement leurs stratégies pour faire face à cette menace complexe et sophistiquée.

Stratégies de mitigation : prévention et détection/réponse

Défendre efficacement contre Redtail et autres malwares de cryptojacking nécessite une approche en deux temps : prévention (première ligne de défense) et détection/réponse (capture de ce qui parvient à passer). Cette approche multicouche est essentielle pour faire face à la nature polymorphe des menaces modernes et à leur capacité à s’adapter rapidement aux défenses.

Prévention : première ligne de défense

La prévention reste la stratégie la plus efficace pour contrer les attaques Redtail. En mettant en œuvre les mesures suivantes, les organisations peuvent réduire considérablement leur surface d’attaque et les chances d’infection :

Durcissement de l’accès

  • Utiliser l’authentification par clé SSH et désactiver les connexions par mot de passe : Cette mesure élimine complètement les attaques par force brute sur SSH, qui sont le principal vecteur d’infection de Redtail.

  • Limiter les tentatives de connexion SSH : Mettre en œuvre des mécanismes de limitation de débit (rate-limiting) et d’interdiction après échecs répétés (fail2ban) pour bloquer automatiquement les adresses IP suspectes.

  • Désactiver les connexions root : Configurer SSH avec PermitRootLogin no pour empêcher les connexions directes avec le compte root, réduisant ainsi l’impact potentiel d’une compromission.

  • Désactiver les services inutiles : Réduire la surface d’attaque en désactivant tous les services non nécessaires sur les systèmes exposés.

Ces mesures de durcissement de l’accès sont fondamentales pour sécuriser les points d’entrée critiques comme les services SSH, qui sont continuellement ciblés par les campagnes Redtail.

Mise à jour et correctifs

  • Appliquer les mises à jour de sécurité : Maintenir tous les systèmes et applications à jour avec les derniers correctifs de sécurité pour réduire les vulnérabilités exploitables par Redtail.

  • Prioriser les correctifs critiques : Mettre en place un processus de gestion des correctifs qui donne la priorité aux vulnérabilités exploitées activement, y compris celles utilisées par Redtail.

La gestion proactive des correctifs est essentielle pour contrer les méthodes d’infection par exploitation de vulnérabilités utilisées par Redtail.

Contrôles réseau

  • Restreindre l’accès entrant inutile : Mettre en place des pare-feu et des groupes de sécurité pour restreindre strictement l’accès entrant, n’autorisant que les services nécessaires.

  • Segmenter les honeypots et les systèmes exposés : Isoler les systèmes à risque élevé (comme les honeypots) des actifs de production pour contenir les compromissions potentielles.

  • Bloquer ou sinkhole les connexions vers les pools de minage connus : Utiliser des listes de blocage pour empêcher les systèmes de communiquer avec les serveurs de pools de minage malveillants.

Ces contrôles réseau aident à contenir les infections et à empêcher les communications avec les infrastructures de commandement et de contrôle des attaquants.

Détection et réponse : capturer ce qui parvient à passer

Malgré les mesures de prévention, aucune défense n’est infaillible. Une stratégie robuste de détection et de réponse est essentielle pour identifier et contrer les infections Redtail qui parviennent à contourner les défenses préventives.

Visibilité

  • Activer la journalisation détaillée : Mettre en place la journalisation détaillée pour SSH, les processus et le trafic réseau sortant pour fournir des données de détection riches.

  • Surveiller les ressources système : Surveiller les processeurs, la mémoire et les E/S disque pour détecter les pics anormalement soutenus qui pourraient indiquer une activité de cryptominage.

  • Utiliser des outils de détection d’anomalies : Mettre en œuvre des solutions basées sur le comportement pour détecter les activités inhabituelles sans dépendre de signatures spécifiques au malware.

Cette visibilité approfondie est cruciale pour détecter les activités Redtail qui peuvent masquer leurs signatures traditionnelles.

Détection basée sur les TTP

  • Surveiller les tentatives de force brute et les connexions échouées répétées : Configurer des alertes pour détecter les schémas d’activité caractéristiques des attaques par force brute sur SSH.

  • Marquer les entrées non autorisées dans ~/.ssh/authorized_keys : Surveiller les modifications non autorisées à ce fichier critique qui indiquent une compromission.

  • Détecter la création de services systemd inhabituels : Surveiller la création de nouveaux services système qui pourraient être utilisés pour persister le cryptominage.

  • Surveiller le trafic sortant chiffré vers des pools privés inconnus : Analyser le trafic HTTPS sortant pour identifier les communications avec des serveurs de minage potentiellement malveillants.

Cette approche de détection basée sur les TTP plutôt que sur les signatures spécifiques au malware est essentielle pour faire face aux variants évolutifs de Redtail.

Actions de réponse

  • Isoler immédiatement les hôtes compromis : Mettre en quarantaine les systèmes infectés pour empêcher la propagation de l’infection et la communication avec les infrastructures C2.

  • Supprimer les clés SSH des attaquants et terminer les processus de minage : Nettoyer les systèmes compromis en supprimant les artefacts d’attaque et en arrêtant les processus malveillants.

  • Reconstruire les systèmes compromis à partir d’images propres : Au lieu de simplement supprimer le malware, reconstruire complètement les systèmes à partir d’images de base vérifiées pour éliminer toute possibilité de persistance résiduelle.

Ces actions de réponse sont cruciales pour éliminer complètement les infections Redtail et prévenir leur réapparition.

Surveillance continue

  • Suivre les tentatives de réinfection : Mettre en place une surveillance continue pour détecter les tentatives répétées d’infection, qui pourraient indiquer une persistance résiduelle ou une cible spécifique.

  • Utiliser des honeypots pour capturer de nouveaux TTP : Déployer et maintenir des honeypots comme DShield pour capturer de nouvelles techniques d’attaque et améliorer les défenses.

Cette surveillance proactive est essentielle pour rester en avance sur les attaquants et adapter continuellement les stratégies de défense.

Conclusion et prochaines étapes pour les défenseurs

La seule façon de détecter les menaces est de les rechercher activement, et la détection n’a que peu de valeur sans une réponse efficace. Protéger les appareils et les réseaux reste un défi, mais il est réalisable avec des défenses multicouches. Alors que le monde devient plus interconnecté et que les attaquants devinent plus rusés, les défenseurs doivent également s’améliorer. La menace Redtail illustre parfaitement cette évolution : un malware qui ne se contente pas de miner de la cryptomonnaie, mais qui établit une persistance sophistiquée, élimine la concurrence et masque son activité.

Pour les organisations françaises confrontées à cette menace, plusieurs actions prioritaires émergent : d’abord, évaluer et renforcer la sécurité des accès SSH, qui reste le principal vecteur d’infection ; ensuite, mettre en œuvre une surveillance proactive basée sur les TTP plutôt que sur les signatures ; enfin, établir un processus de réponse aux incidents robuste capable de détecter et d’éliminer efficacement les infections Redtail. Dans le paysage cybernétique actuel, la défense contre les menaces comme Redtail n’est pas une option, mais une nécessité stratégique pour la protection des actifs numériques et de la continuité opérationnelle.