یک عامل تهدید ناشناخته سالهاست که بدون سر و صدا در حال استخراج ارز دیجیتال Monero بر روی سرورهای منبع باز Redis در سراسر جهان است و با استفاده از یک بدافزار سفارشی ساخته شده است که عملاً توسط ابزارهای آنتی ویروس بدون عامل و معمولی قابل شناسایی نیست.
از سپتامبر 2021، عامل تهدید حداقل 1,200 سرور Redis را به خطر انداخته است - که هزاران سازمان عمدتاً کوچکتر از آنها به عنوان پایگاه داده یا حافظه پنهان استفاده می کنند - و کنترل کامل آنها را در دست گرفته است. محققان شرکت Aqua Nautilus که هنگام حمله به یکی از هانیپاتهای این کمپین متوجه شدند، بدافزار را بهعنوان «HeadCrab» ردیابی میکنند.
بدافزار پیچیده و مقیم حافظه
در یک پست وبلاگی این هفته، فروشنده امنیتی HeadCrab را به عنوان بدافزار مقیم حافظه توصیف کرد که تهدیدی مداوم برای سرورهای Redis متصل به اینترنت است. بسیاری از این سرورها بهطور پیشفرض احراز هویت را فعال نمیکنند، زیرا قرار است روی شبکههای امن و بسته اجرا شوند.
آکوا تجزیه و تحلیل HeadCrab نشان داد که این بدافزار به گونه ای طراحی شده است که از نحوه عملکرد Redis هنگام تکثیر و همگام سازی داده های ذخیره شده در چندین گره در یک Redis Cluster استفاده کند. این فرآیند شامل دستوری است که اساساً به مدیران اجازه میدهد تا یک سرور را در یک کلاستر Redis به عنوان یک «برده» برای سرور «مستر» دیگری در کلاستر تعیین کنند. سرورهای Slave با سرور اصلی همگام می شوند و اقدامات مختلفی را انجام می دهند، از جمله دانلود ماژول هایی که ممکن است در سرور اصلی وجود داشته باشد. ماژول های Redis فایل های اجرایی هستند که مدیران می توانند از آنها برای بهبود عملکرد سرور Redis استفاده کنند.
محققان Aqua دریافتند که HeadCrab از این فرآیند برای بارگذاری a استفاده می کند ماینر ارز دیجیتال در معرض اینترنت سیستم های ردیس. برای مثال، با حمله به هانیپات، عامل تهدید از فرمان قانونی SLAVEOF Redis برای تعیین هانیپات Aqua به عنوان برده سرور اصلی Redis تحت کنترل مهاجم استفاده کرد. سپس سرور اصلی یک فرآیند همگام سازی را آغاز کرد که در آن عامل تهدید یک ماژول مخرب Redis حاوی بدافزار HeadCrab را دانلود کرد.
Asaf Eitani، محقق امنیتی در Aqua، می گوید که چندین ویژگی HeadCrab نشان دهنده درجه بالایی از پیچیدگی و آشنایی با محیط های Redis است.
یکی از نشانه های بزرگ آن استفاده از چارچوب ماژول Redis به عنوان ابزاری برای انجام اقدامات مخرب است - در این مورد، دانلود بدافزار. ایتانی میگوید: همچنین استفاده بدافزار از Redis API برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل میشود، میزبانی میشود که به نظر میرسد یک سرور قانونی اما در معرض خطر است.
او خاطرنشان می کند: «این بدافزار به طور خاص برای سرورهای Redis ساخته شده است، زیرا به شدت به استفاده از Redis Modules API برای برقراری ارتباط با اپراتور خود متکی است.
HeadCrab ویژگی های پیچیده مبهم سازی را برای مخفی ماندن در سیستم های در معرض خطر پیاده سازی می کند، بیش از 50 عمل را به صورت کاملاً بدون فایل اجرا می کند، و از یک لودر پویا برای اجرای باینری ها و فرار از تشخیص استفاده می کند. ایتانی خاطرنشان میکند: «بازیگر تهدید همچنین رفتار عادی سرویس Redis را تغییر میدهد تا حضور آن را پنهان کند و از آلوده کردن سایر عوامل تهدید به سرور با همان پیکربندی نادرستی که برای اجرا استفاده کرد، جلوگیری کند.» به طور کلی، این بدافزار بسیار پیچیده است و از روشهای متعددی برای دستیابی به برتری در مدافعان استفاده میکند.»
این بدافزار برای رمزنگاری بهینه شده است و به نظر می رسد که به صورت سفارشی برای سرورهای Redis طراحی شده است. ایتانی می گوید، اما گزینه های داخلی برای انجام کارهای بیشتر دارد. به عنوان مثال، او به توانایی HeadCrab برای سرقت کلیدهای SSH برای نفوذ به سرورهای دیگر و به طور بالقوه سرقت داده ها و همچنین توانایی آن در بارگذاری یک ماژول هسته بدون فایل برای به خطر انداختن کامل هسته سرور اشاره می کند.
Assaf Morag، تحلیلگر ارشد تهدید در Aqua، میگوید که این شرکت نتوانسته است این حملات را به هیچ عامل تهدید یا گروهی از بازیگران شناختهشده نسبت دهد. اما او پیشنهاد میکند که سازمانهایی که از سرورهای Redis استفاده میکنند، در صورت شناسایی HeadCrab در سیستمهای خود، باید یک نقض کامل را فرض کنند.
Morag توصیه میکند: «محیطهای خود را با اسکن فایلهای پیکربندی Redis خود سختتر کنید، اطمینان حاصل کنید که سرور به احراز هویت نیاز دارد و در صورت عدم نیاز به دستورات «slaveof» اجازه نمیدهد، و در صورت لزوم، سرور را در معرض اینترنت قرار ندهید.
موراگ می گوید که جستجوی Shodan بیش از 42,000 سرور Redis متصل به اینترنت را نشان داد. او میگوید از این تعداد، حدود 20,000 سرور به نوعی اجازه دسترسی را میدهند و به طور بالقوه میتوانند توسط یک حمله brute-force یا سوء استفاده آسیبپذیری آلوده شوند.
HeadCrab دومین بدافزار هدفمند Redis است که Aqua در ماه های اخیر گزارش کرده است. در ماه دسامبر، فروشنده امنیتی کشف کرد Redigo، یک درب پشتی Redis به زبان Go نوشته شده است. همانند HeadCrab، Aqua این بدافزار را زمانی کشف کرد که عوامل تهدید روی هانیپات آسیبپذیر Redis نصب شدند.
بر اساس پست وبلاگ Aqua، "در سال های اخیر، سرورهای Redis اغلب از طریق پیکربندی نادرست و آسیب پذیری ها توسط مهاجمان هدف قرار گرفته اند." با محبوبیت بیشتر سرورهای Redis، دفعات حملات افزایش یافته است.
ردیس در بیانیهای حمایت خود را از محققان امنیت سایبری اعلام کرد و گفت که میخواهد Aqua را برای ارسال این گزارش به جامعه Redis به رسمیت بشناسد. در بیانیه آمده است: "گزارش آنها خطرات بالقوه پیکربندی نادرست Redis را نشان می دهد." ما همه کاربران Redis را تشویق میکنیم که از راهنماییهای امنیتی و بهترین شیوههای منتشر شده در منبع باز و اسناد تجاری ما پیروی کنند.»
این بیانیه افزوده است که هیچ نشانه ای مبنی بر اینکه نرم افزار Redis Enterprise یا سرویس های Redis Cloud تحت تأثیر حملات HeadCrab قرار گرفته باشد وجود ندارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware
- 000
- 1
- 2021
- 7
- a
- توانایی
- قادر
- دسترسی
- مطابق
- رسیدن
- در میان
- اقدامات
- اضافه
- مدیران
- مزیت - فایده - سود - منفعت
- معرفی
- اجازه می دهد تا
- روانکاو
- و
- دیگر
- آنتی ویروس
- API
- به نظر می رسد
- اب
- دور و بر
- حمله
- حمله
- تصدیق
- اساسا
- زیرا
- شدن
- بهترین
- بهترین شیوه
- بزرگ
- بلاگ
- شکاف
- ساخته
- ساخته شده در
- مخزن
- کمپین بین المللی حقوق بشر
- مورد
- بسته
- ابر
- خدمات ابر
- خوشه
- تجاری
- ارتباط
- انجمن
- شرکت
- کامل
- به طور کامل
- پیچیده
- سازش
- در معرض خطر
- پیکر بندی
- متصل
- کنترل
- معمولی
- کریپتو کارنسی (رمز ارزها )
- امنیت سایبری
- خطرات
- داده ها
- پایگاه داده
- دسامبر
- به طور پیش فرض
- مدافعان
- درجه
- شرح داده شده
- طراحی
- کشف
- کشف
- مستندات
- پویا
- لبه
- فعال
- تشویق
- اطمینان حاصل شود
- سرمایه گذاری
- نرمافزار سازمانی
- محیط
- مثال ها
- اجرا کردن
- اجرا می کند
- اعدام
- بهره برداری
- بیان
- آشنایی
- روش
- امکانات
- فایل ها
- به دنبال
- یافت
- چارچوب
- فرکانس
- از جانب
- کامل
- قابلیت
- افزایش
- گرفتن
- Go
- گروه
- به شدت
- پنهان
- زیاد
- اصابت
- میزبانی
- چگونه
- HTTPS
- نهفته
- پیاده سازی می کند
- in
- از جمله
- افزایش
- نصب شده
- نمونه
- اینترنت
- متصل به اینترنت
- IT
- کلید
- شناخته شده
- زبان
- رهبری
- بار
- بارکننده
- خیلی
- نرم افزارهای مخرب
- بسیاری
- استاد
- روش
- قدرت
- استخراج معدن
- ماژول ها
- ماژول ها
- Monero
- ماه
- بیش
- چندگانه
- لازم
- شبکه
- گره
- طبیعی
- یادداشت
- ONE
- مداوم
- باز کن
- منبع باز
- اپراتور
- بهینه
- گزینه
- سازمان های
- دیگر
- به طور کلی
- انجام
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- محبوب
- پست
- پتانسیل
- بالقوه
- شیوه های
- حضور
- در حال حاضر
- هدیه
- جلوگیری از
- روند
- منتشر شده
- ملایم
- اخیر
- شناختن
- ماندن
- گزارش
- گزارش
- نیاز
- پژوهشگر
- محققان
- دویدن
- سعید
- همان
- پویش
- جستجو
- دوم
- امن
- تیم امنیت لاتاری
- سپتامبر
- سرور
- سرویس
- خدمات
- چند
- باید
- نشان می دهد
- امضاء
- قابل توجه
- نشانه ها
- کوچکتر
- نرم افزار
- برخی از
- مصنوعی
- منبع
- به طور خاص
- بیانیه
- ذخیره شده
- حاکی از
- پشتیبانی
- هماهنگ سازی
- سیستم های
- گرفتن
- هدف قرار
- La
- جهان
- شان
- این هفته
- هزاران نفر
- تهدید
- بازیگران تهدید
- از طریق
- به
- ابزار
- ابزار
- پیگردی
- استفاده
- استفاده کنید
- کاربران
- نوع دیگر
- تنوع
- فروشنده
- عملا
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- خواسته
- هفته
- چی
- که
- WHO
- در داخل
- با این نسخهها کار
- جهان
- کتبی
- سال
- شما
- زفیرنت