Analyse de la menace RedTail : observations d'un honeypot et stratégies de défense contre le cryptojacking

Églantine Montclair

Analyse de la menace RedTail : observations d’un honeypot et stratégies de défense contre le cryptojacking

Le cryptojacking représente une menace discrète mais croissante dans le paysage de la cybersécurité. Contrairement au ransomware qui provoque une interruption visible en chiffrant les fichiers et en exigeant une rançon, le cryptojacking agit comme un intrus silencieux, s’installant discrètement pour détourner les ressources de calcul en arrière-plan afin d’extraire des cryptomonnaies, tout en laissant les victimes souvent dans l’ignorance de leur présence. Selon une récente analyse, le cryptojacking représente une part significative des cybermenaces ciblant les infrastructures d’entreprise, avec une augmentation de 35% des incidents en 2025 par rapport à l’année précédente. Cette analyse se concentre sur RedTail, un malware de cryptojacking observé pour la première fois début 2024 et qui a fait l’objet de multiples tentatives de déploiement dans des honeypots au cours des trois derniers mois.

Comprendre RedTail : profil d’une menace émergente

RedTail est un malware spécifiquement conçu pour cibler la cryptomonnaie Monero, appréciée des cybercriminels pour son caractère anonyme. Le malware s’infiltre principalement par deux vecteurs : les connexions SSH obtenues par brute-force ou l’exploitation de vulnérabilités logicielles. Une fois installé, RedTail déploie des scripts qui assurent sa persistance sur le système et lancent les processus d’extraction de cryptomonnaies. L’observation de cette campagne par un honeypot DShield a révélé que les activités liées à RedTail vont bien au-delà du simple cryptojacking, présentant un cas d’étude pertinent pour les professionnels de la sécurité cherchant à améliorer leurs défenses.

Techniques d’infiltration initiale

Les attaques menées via RedTail suivent une méthodologie prévisible mais efficace. Les acteurs malveillants commencent par scanner les plages d’IP à la recherche de services exposés, une étape de reconnaissance active (T1595.001 dans le cadre MITRE ATT&CK). Une fois une cible identifiée, ils développent ou conditionnent leur charge utile malveillante (T1587.001) et la mettent en place pour livraison (T1608.001). L’accès initial est généralement obtenu par force brute sur les services SSH, où les attaquants testent en masse des combinaisons d’identifiants jusqu’à trouver des valides. Cette méthode, bien que rudimentaire, reste efficace contre les systèmes dont les politiques de mot de passe ne sont pas suffisamment robustes.

Mécanismes de persistance et d’exécution

Après avoir obtenu un accès initial, les attaquants exécutent des scripts préparatoires comme clean.sh et setup.sh pour configurer l’environnement d’extraction (T1059.004). Ces scripts ont pour objectif de nettoyer tout processus concurrent de cryptominage existant et d’installer RedTail en tant qu’élément persistant. L’une des techniques les plus observées est l’implantation de clés SSH autorisées dans le répertoire ~/.ssh/authorized_keys (T1098.004), permettant aux attaquants de revenir à tout moment sans avoir à repasser par une phase de brute-force. Cette persistance assure que leur outil d’extraction reste actif même après les redémarrages du système.

Cartographie des attaques dans le cadre MITRE ATT&CK

Les indicateurs de compromission (IOCs) comme les hashes de fichiers ou les adresses IP sont utiles pour une détection rapide mais deviennent rapidement obsolètes dès que les attaquants modifient leur code. En revanche, les tactiques, techniques et procédures (TTPs) évoluent moins fréquemment et permettent de détecter des comportements malveillants similaires même lorsque les IOCs ont changé. L’analyse des activités RedTail observées dans l’honeypot a été cartographiée dans le cadre MITRE ATT&CK, en se concentrant sur les phases de pré-attaque et d’attaque complète.

Phase de pré-attaque (PRE-ATT&CK)

Bien que les premières phases d’une attaque - la reconnaissance et la weaponization - ne soient pas toujours visibles dans les journaux d’activité, les activités ultérieures observées dans l’honeypot permettent de déduire leur existence. Les attaquants ont scanné des blocs d’adresses IP à la recherche de services exposés (T1595.001). Ils ont ensuite développé ou conditionné leur charge utile malveillante (T1587.001) et l’ont préparée pour livraison (T1608.001). Ces étapes de préparation sont cruciales, car elles déterminent l’efficacité de l’attaque principale qui suivra.

Phases d’attaque complètes (ATT&CK)

La phase de livraison (Deliver) correspond à l’initial de l’infiltration, où les attaquants obtiennent un accès initial, exécutent des scripts et établissent des mécanismes de persistance. Dans le cas RedTail, cela inclut la tentative de brute-force SSH (T1078.002), l’exécution de scripts d’installation (T1059.004) et l’implantation de clés SSH pour persistance (T1098.004). La phase d’exploitation à exécution (Exploit to Execute) montre comment les attaquants éliminent les traces de leur présence (T1070.004) et découvrent des informations sur le système pour confirmer sa compatibilité avec RedTail (T1082). Enfin, la phase d’exécution et de maintien (Execute and Maintain) révèle le trafic de commandement et de contrôle sortant via HTTPS vers des pools de minage malveillants (T1071.001) et l’impact final sous forme de détournement des ressources CPU (T1496.001).

Observations uniques issues de l’analyse de l’honeypot

Bien que RedTail ait été signalé dans plusieurs incidents, les journaux de l’honeypot ont révélé plusieurs comportements dignes d’attention qui vont au-delà de l’activité de cryptojacking générique. Ces observations fournissent des informations précieuses pour les équipes de sécurité cherchant à détecter et à contrer des menaces similaires.

Brute-force SSH et gestion des accès

Les tentatives d’accès SSH par brute-force constituent le vecteur d’infiltration principal observé dans cette campagne. Cela souligne la persistance de cette technique d’attaque et l’importance cruciale d’une gestion rigoureuse des identifiants. Les attaquants ont systématiquement tenté des combinaisons de noms d’utilisateur et de mots de passe jusqu’à trouver des valides, démontrant que les mots de passe faibles ou par défaut restent un point d’entrée largement exploité. Une fois l’accès obtenu, les attaquants ont immédiatement procédé à l’escalade des privilèges et à l’installation de leurs outils.

Configuration scriptée et élimination de la concurrence

Après avoir obtenu un accès initial, les attaquants ont téléchargé et exécuté un script setup.sh pour configurer l’environnement de minage. Ce script était conçu pour préparer le système de manière optimale pour l’exécution de RedTail. Parallèlement, ils ont lancé un script clean.sh supprimant tout processus de cryptominage concurrent existant. Cette approche stratégique garantit que RedTail puisse disposer exclusivement des ressources système, maximisant ainsi les profits des attaquants au détriment des victimes. Cette compétition entre malwares est un phénomène croissant dans le paysage des menaces.

Mécanismes de persistance et dissimulation

L’une des techniques les plus sophistiquées observées est l’implantation de clés SSH personnalisées dans le fichier ~/.ssh/authorized_keys. Cette méthode permet aux attaquants de revenir sur le système à tout moment sans avoir à repasser par une phase de brute-force, rendant leur présence durable et difficile à détecter. Les journaux ont également enregistré des commandes de suppression de fichiers, indiquant que les attaquants tentaient activement de masquer leur activité après l’installation initiale. Ces comportements de dissimulation sont typiques des campagnes plus avancées et nécessitent des stratégies de détection et de réponse adaptées.

Stratégies de mitigation : défense à plusieurs niveaux

La défense contre RedTail et d’autres malwares de cryptojacking nécessite une approche en deux temps : prévention et détection/réponse. La prévention constitue la première ligne de défense, visant à empêcher l’infiltration initiale, tandis que la détection et la réponse permettent d’identifier et de neutraliser les menaces qui parviennent à contourner les défenses préventives.

Prévention : premières lignes de défense

Renforcement des accès SSH

  • Utiliser l’authentification par clés SSH et désactiver les connexions par mot de passe
  • Appliquer des limites de taux pour les tentatives de connexion SSH et imposer des verrouillages après échecs répétés (par exemple avec fail2ban)
  • Désactiver les connexions root (PermitRootLogin no) et les services inutiles

Mises à jour et corrections de sécurité

  • Appliquer régulièrement les correctifs de sécurité pour tous les systèmes et applications
  • Mettre en place un processus de gestion des vulnérabilités pour identifier et corriger rapidement les points faibles

Contrôles réseau

  • Restreindre l’accès entrant aux services essentiels uniquement
  • Segmenter les systèmes exposés comme les honeypots des actifs de production
  • Bloquer ou rediriger (sinkholing) les connexions vers les pools de minage connus

Détection et réponse : capturer ce qui passe au travers

Visibilité et surveillance

  • Activer la journalisation détaillée pour les activités SSH, les processus et le trafic réseau sortant
  • Surveiller les anomalies dans l’utilisation du CPU, de la mémoire et les E/S disque
  • Mettre en place des systèmes de détection d’intrusion (IDS/IPS) pour identifier les comportements suspects

Détection basée sur les TTPs

  • Surveiller les tentatives de brute-force et les connexions SSH échouées répétées
  • Signaler les entrées non autorisées dans ~/.ssh/authorized_keys
  • Détecter la création de services systemd inhabituels
  • Surveiller le trafic sortant chiffré vers des pools de minage inconnus ou privés

Actions de réponse

  • Isoler immédiatement les hôtes compromis
  • Supprimer les clés SSH des attaquants et terminer les processus de minage
  • Reconstruire les systèmes compromis à partir d’images propres

Surveillance continue

  • Suivre les tentatives de réinfection
  • Utiliser des honeypots comme DShield pour capturer de nouveaux TTPs et alimenter les défenses

Implémentation pratique : guide étape par étape

La protection contre des menaces comme RedTail nécessite une mise en œuvre concrète et méthodique. Voici un guide pratique pour renforcer la défense de votre infrastructure contre le cryptojacking et autres menaces persistantes.

  1. Évaluation initiale des risques

    • Auditer les configurations actuelles des services SSH
    • Identifier les systèmes exposés et les points d’entrée potentiels
    • Examiner les politiques de gestion des identifiants et des accès

  2. Renforcement immédiat des accès

    • Implémenter l’authentification par clés SSH
    • Configurer fail2ban ou des outils similaires pour bloquer les adresses IP suspectes
    • Désactiver les connexions root et les services inutiles

  3. Mise en place d’une surveillance

    • Activer la journalisation détaillée sur tous les systèmes critiques
    • Configurer des alertes pour les anomalies d’utilisation des ressources
    • Mettre en place un système de surveillance du trafic réseau sortant

  4. Tests de pénétration et simulation

    • Réaliser des tests de pénétration pour valider l’efficacité des mesures préventives
    • Simuler des campagnes de brute-force SSH pour évaluer la résilience
    • Mesurer les temps de détection et de réponse aux menaces simulées

  5. Plan de réponse incident

    • Développer un plan de réponse spécifique au cryptojacking
    • Former l’équipe aux procédures de réponse et de récupération
    • Établir des critères clairs pour l’isolement des systèmes compromis

Conclusion et prochaines actions

L’analyse détaillée de la menace RedTail met en lumière l’évolution des techniques de cryptojacking qui dépassent désormais le simple détournement de ressources pour inclure des mécanismes sophistiqués de persistance et de dissimulation. Comme le souligne Jesse La Grew, l’observateur en charge au SANS Internet Storm Center : “La seule façon de détecter les menaces est de les chercher activement, et la détection n’a que peu de valeur sans une réponse appropriée.” La protection des dispositifs et des réseaux reste un défi complexe mais réalisable grâce à des défenses multicouches.

Alors que le monde devient plus connecté et que les attaquants devinent plus rusés, les défenseurs doivent également progresser. L’utilisation d’outils comme les honeypots pour capturer de nouveaux TTPs, combinée à une approche proactive de la sécurité, offre le meilleur espoir de contrer efficacement des menaces comme RedTail. La clé réside dans une combinaison de prévention robuste, de détection basée sur les comportements et une réponse rapide et efficace aux incidents.

Pour les organisations cherchant à améliorer leur posture de sécurité face au cryptojacking, les prochaines étapes devraient inclure : l’évaluation de la configuration actuelle des services SSH, la mise en place de contrôles d’accès renforcés, et le déploiement de systèmes de détection basés sur les TTPs plutôt que sur des simples indicateurs de compromission. En adoptant ces mesures, les défenseurs peuvent non seulement se protéger contre RedTail mais aussi renforcer leur résilience face à une large gamme de cybermenaces émergentes.