Egy ismeretlen fenyegetés szereplője évek óta csendesen bányászta a Monero kriptovalutát nyílt forráskódú Redis szervereken szerte a világon, egy egyedi készítésű kártevő-változatot használva, amelyet gyakorlatilag nem észlelnek az ügynök nélküli és a hagyományos vírusirtó eszközök.
2021 szeptembere óta a fenyegetettség szereplője legalább 1,200 Redis-kiszolgálót kompromittált – amelyeket többnyire kisebb szervezetek használnak adatbázisként vagy gyorsítótárként –, és teljes mértékben átvette felettük az irányítást. Az Aqua Nautilus kutatói, akik észrevették a kampányt, amikor támadás érte az egyik mézesedényt, „HeadCrab” néven követik a rosszindulatú programot.
Kifinomult, memória-rezidens kártevő
Egy e heti blogbejegyzésben a biztonsági gyártó a HeadCrab-ot memóriarezidens rosszindulatú programként írta le, amely folyamatos fenyegetést jelent az internetre csatlakozó Redis szerverekre. A legtöbb ilyen szerveren alapértelmezés szerint nincs engedélyezve a hitelesítés, mert biztonságos, zárt hálózatokon futnak.
Aqua's HeadCrab elemzése kimutatta, hogy a rosszindulatú program célja, hogy kihasználja a Redis működését, amikor egy Redis-fürtön belül több csomóponton tárolt adatokat replikálja és szinkronizálja. A folyamat egy olyan parancsot tartalmaz, amely alapvetően lehetővé teszi az adminisztrátorok számára, hogy egy Redis-fürtön belüli kiszolgálót „szolgaként” jelöljenek ki a fürtön belüli másik „fő” kiszolgálóhoz. A szolgakiszolgálók szinkronizálnak a főkiszolgálóval, és számos műveletet hajtanak végre, beleértve a főkiszolgálón található modulok letöltését. A Redis modulok olyan végrehajtható fájlok, amelyeket a rendszergazdák használhatnak a Redis-kiszolgáló funkcionalitásának javítására.
Az Aqua kutatói azt találták, hogy a HeadCrab ezt a folyamatot kihasználva betölti a kriptovaluta bányász internetre kitéve Redis rendszerek. A mézesedény elleni támadáskor a fenyegetés szereplője például a törvényes SLAVEOF Redis parancsot használta, hogy az Aqua honeypotot a támadók által irányított mester Redis szerver rabszolgájaként jelölje ki. A főszerver ezután elindított egy szinkronizálási folyamatot, amelynek során a fenyegetés szereplője letöltött egy rosszindulatú Redis modult, amely a HeadCrab kártevőt tartalmazza.
Asaf Eitani, az Aqua biztonsági kutatója szerint a HeadCrab számos jellemzője a Redis környezetek nagyfokú kifinomultságára és ismeretére utal.
Ennek egyik nagy jele, hogy a Redis modul keretrendszert rosszindulatú műveletek – jelen esetben a kártevő letöltése – eszközeként használják. Szintén jelentős az, hogy a rosszindulatú program a Redis API-t használja a támadók által vezérelt parancs- és vezérlőkiszolgálóval (C2) való kommunikációhoz, amely egy legitim, de feltört szerveren található, mondja Eitani.
"A rosszindulatú program kifejezetten a Redis szerverekhez készült, mivel nagymértékben támaszkodik a Redis Modules API használatára, hogy kommunikáljon az üzemeltetőjével" - jegyzi meg.
A HeadCrab kifinomult obfuszkációs funkciókat valósít meg, hogy rejtve maradjon a feltört rendszereken, több mint 50 műveletet hajt végre teljesen fájlmentesen, és dinamikus betöltőt használ a binárisok végrehajtására és az észlelés elkerülésére. "A fenyegetés szereplője a Redis szolgáltatás normál viselkedését is módosítja, hogy elfedje annak jelenlétét, és megakadályozza, hogy más fenyegetés szereplői ugyanazzal a hibás konfigurációval fertőzzék meg a szervert, amelyet a végrehajtás eléréséhez használt" - jegyzi meg Eitani. "Összességében a rosszindulatú program nagyon összetett, és többféle módszert használ a védők előnyére."
A rosszindulatú program kriptominisztrációra van optimalizálva, és úgy tűnik, hogy a Redis szerverekhez készült. De beépített opciói sokkal többre képesek, mondja Eitani. Példaként rámutat arra, hogy a HeadCrab képes SSH-kulcsokat lopni, hogy behatoljon más szerverekre, és potenciálisan adatokat lopjon, valamint azt a képességét, hogy fájl nélküli kernelmodult tölt be, hogy teljesen kompromittálja a szerver kernelt.
Assaf Morag, az Aqua fenyegetésekkel foglalkozó elemzője szerint a vállalat nem tudta a támadásokat egyetlen ismert fenyegetett szereplőnek vagy szereplőcsoportnak tulajdonítani. Azt javasolja azonban, hogy a Redis szervereket használó szervezetek teljes jogsértést feltételezzenek, ha a HeadCrabot észlelik a rendszerükön.
„Keményítse meg környezetét a Redis konfigurációs fájlok vizsgálatával, győződjön meg arról, hogy a szerver hitelesítést igényel, és nem engedélyezi a „slaveof” parancsokat, ha nem szükséges, és ne tegye ki a szervert az Internetnek, ha nem szükséges” – tanácsolja Morag.
Morag szerint a Shodan-keresés több mint 42,000 20,000, az internethez csatlakozó Redis-kiszolgálót mutatott ki. Ebből mintegy XNUMX XNUMX szerver tett lehetővé valamilyen hozzáférést, és potenciálisan megfertőződhet brute force támadással vagy sebezhetőségi kihasználással – mondja.
A HeadCrab a második Redis-t célzó rosszindulatú program, amelyet az Aqua jelentett az elmúlt hónapokban. Decemberben a biztonsági eladó felfedezte Redigo, egy Redis hátsó ajtó Go nyelven írva. Akárcsak a HeadCrab esetében, az Aqua is akkor fedezte fel a kártevőt, amikor a fenyegetés szereplői egy sebezhető Redis honeypotra telepítették.
Az Aqua blogbejegyzése szerint az elmúlt években a Redis szervereket támadók célba vették, gyakran hibás konfiguráció és sebezhetőség miatt. "Mivel a Redis szerverek egyre népszerűbbek, a támadások gyakorisága nőtt."
A Redis közleményben fejezte ki támogatását a kiberbiztonsági kutatók iránt, és azt mondta, hogy szeretné elismerni az Aquat, amiért eljuttatta a jelentést a Redis közösséghez. „Jelentésük rámutat a Redis helytelen beállításának lehetséges veszélyeire” – áll a közleményben. „Arra bátorítunk minden Redis-felhasználót, hogy kövesse a nyílt forráskódú és kereskedelmi dokumentációnkban közzétett biztonsági útmutatásokat és legjobb gyakorlatokat.”
Nincs arra utaló jel, hogy a Redis Enterprise szoftvert vagy a Redis Cloud szolgáltatásokat érintették volna a HeadCrab támadások – tette hozzá a közlemény.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware
- 000
- 1
- 2021
- 7
- a
- képesség
- Képes
- hozzáférés
- Szerint
- Elérése
- át
- cselekvések
- hozzáadott
- adminisztrátorok
- Előny
- Minden termék
- lehetővé teszi, hogy
- elemző
- és a
- Másik
- víruskereső
- api
- megjelent
- aqua
- körül
- támadás
- Támadások
- Hitelesítés
- Alapvetően
- mert
- válik
- BEST
- legjobb gyakorlatok
- Nagy
- Blog
- megsértése
- épült
- beépített
- Gyorsítótár
- Kampány
- eset
- zárt
- felhő
- felhő szolgáltatások
- Fürt
- kereskedelmi
- kommunikálni
- közösség
- vállalat
- teljes
- teljesen
- bonyolult
- kompromisszum
- Veszélyeztetett
- Configuration
- összefüggő
- ellenőrzés
- hagyományos
- cryptocurrency
- Kiberbiztonság
- veszélyeket
- dátum
- adatbázis
- december
- alapértelmezett
- Védők
- Fok
- leírt
- tervezett
- Érzékelés
- felfedezett
- dokumentáció
- dinamikus
- él
- engedélyezve
- ösztönzése
- biztosítására
- Vállalkozás
- vállalati szoftver
- környezetek
- példák
- kivégez
- végrehajtja
- végrehajtás
- Exploit
- kifejezve
- bizalmasság
- Divat
- Jellemzők
- Fájlok
- következik
- talált
- Keretrendszer
- Frekvencia
- ból ből
- Tele
- funkcionalitás
- Nyereség
- szerzés
- Go
- Csoport
- súlyosan
- Rejtett
- Magas
- Találat
- házigazdája
- Hogyan
- HTTPS
- befolyásolta
- munkagépek
- in
- Beleértve
- <p></p>
- telepítve
- példa
- Internet
- internetkapcsolattal
- IT
- kulcsok
- ismert
- nyelv
- vezet
- kiszámításának
- rakodó
- Sok
- malware
- sok
- mester
- mód
- esetleg
- Bányászati
- Modulok
- Modulok
- Monero
- hónap
- több
- többszörös
- elengedhetetlen
- hálózatok
- csomópontok
- normális
- Megjegyzések
- ONE
- folyamatban lévő
- nyitva
- nyílt forráskódú
- operátor
- optimalizált
- Opciók
- szervezetek
- Más
- átfogó
- Teljesít
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Népszerű
- állás
- potenciális
- potenciálisan
- gyakorlat
- jelenlét
- be
- ajándékot
- megakadályozása
- folyamat
- közzétett
- csendesen
- új
- elismerik
- marad
- jelentést
- Számolt
- megköveteli,
- kutató
- kutatók
- futás
- Mondott
- azonos
- letapogatás
- Keresés
- Második
- biztonság
- biztonság
- szeptember
- Szerverek
- szolgáltatás
- Szolgáltatások
- számos
- kellene
- Műsorok
- <p></p>
- jelentős
- Jelek
- kisebb
- szoftver
- néhány
- kifinomult
- forrás
- kifejezetten
- nyilatkozat
- memorizált
- javasolja,
- támogatás
- összehangolás
- Systems
- Vesz
- célzott
- A
- a világ
- azok
- ezen a héten
- ezer
- fenyegetés
- fenyegetés szereplői
- Keresztül
- nak nek
- szerszám
- szerszámok
- Csomagkövetés
- Használat
- használ
- Felhasználók
- Változat
- fajta
- eladó
- gyakorlatilag
- sérülékenységek
- sebezhetőség
- Sebezhető
- kívánatos
- hét
- Mit
- ami
- WHO
- belül
- művek
- világ
- írott
- év
- A te
- zephyrnet