Puluhan Server Redis Dipenuhi Malware Buatan Canggih

Diterbitkan Ulang Oleh Plato

Followers: 0

Sejumlah Server Redis Dipenuhi oleh Malware Canggih yang Dibuat Khusus, PlatoBlockchain Data Intelligence. Pencarian Vertikal. Ai.

Seorang pelaku ancaman yang tidak dikenal diam-diam telah menambang cryptocurrency Monero di server Redis sumber terbuka di seluruh dunia selama bertahun-tahun, menggunakan varian malware yang dibuat khusus yang hampir tidak dapat dideteksi oleh alat antivirus tanpa agen dan konvensional.

Sejak September 2021, pelaku ancaman telah menyusupi setidaknya 1,200 server Redis — yang sebagian besar digunakan oleh organisasi yang lebih kecil sebagai basis data atau cache — dan mengambil kendali penuh atas mereka. Peneliti dari Aqua Nautilus, yang melihat kampanye tersebut saat serangan menghantam salah satu honeypotnya, melacak malware tersebut sebagai “HeadCrab.”

Canggih, Memory-Resident Malware

Dalam sebuah posting blog minggu ini, vendor keamanan menjelaskan HeadCrab sebagai malware memori-penduduk yang menghadirkan ancaman berkelanjutan ke server Redis yang terhubung ke Internet. Banyak dari server ini tidak memiliki autentikasi yang diaktifkan secara default karena dimaksudkan untuk berjalan di jaringan tertutup yang aman.

Aqua analisis HeadCrab menunjukkan bahwa malware dirancang untuk memanfaatkan cara kerja Redis saat mereplikasi dan menyinkronkan data yang disimpan di beberapa node dalam Redis Cluster. Prosesnya melibatkan perintah yang pada dasarnya memungkinkan administrator untuk menunjuk server di dalam Redis Cluster sebagai "budak" ke server "master" lain di dalam cluster. Server budak menyinkronkan dengan server master dan melakukan berbagai tindakan, termasuk mengunduh modul apa pun yang mungkin ada di server master. Modul Redis adalah file yang dapat dieksekusi yang dapat digunakan administrator untuk meningkatkan fungsionalitas server Redis.

Peneliti Aqua menemukan HeadCrab mengeksploitasi proses ini untuk memuat a penambang cryptocurrency di Internet terbuka Sistem Redis. Dengan serangan pada honeypot-nya, aktor ancaman, misalnya, menggunakan perintah SLAVEOF Redis yang sah untuk menunjuk Aqua honeypot sebagai budak dari server master Redis yang dikendalikan penyerang. Server master kemudian memulai proses sinkronisasi di mana aktor ancaman mengunduh modul berbahaya Redis yang berisi malware HeadCrab.

Asaf Eitani, peneliti keamanan di Aqua, mengatakan beberapa fitur HeadCrab menunjukkan tingkat kecanggihan dan keakraban yang tinggi dengan lingkungan Redis.

Salah satu tanda besarnya adalah penggunaan kerangka kerja modul Redis sebagai alat untuk melakukan tindakan jahat — dalam hal ini, mengunduh malware. Yang juga signifikan adalah penggunaan Redis API oleh malware untuk berkomunikasi dengan server perintah-dan-kontrol yang dikendalikan penyerang (C2) yang dihosting di server yang tampaknya sah tetapi telah disusupi, kata Eitani.

“Malware ini secara khusus dibuat untuk server Redis, karena sangat bergantung pada penggunaan Redis Modules API untuk berkomunikasi dengan operatornya,” catatnya.

HeadCrab mengimplementasikan fitur obfuscation canggih untuk tetap tersembunyi di sistem yang disusupi, mengeksekusi lebih dari 50 tindakan tanpa file sama sekali, dan menggunakan loader dinamis untuk mengeksekusi binari dan menghindari deteksi. “Aktor ancaman juga memodifikasi perilaku normal layanan Redis untuk mengaburkan keberadaannya dan untuk mencegah aktor ancaman lain menginfeksi server dengan kesalahan konfigurasi yang sama seperti yang dia gunakan untuk mendapatkan eksekusi,” catat Eitani. “Secara keseluruhan, malware ini sangat kompleks dan menggunakan banyak metode untuk mencapai keunggulan pada para pembela.”

Malware dioptimalkan untuk cryptomining dan tampaknya dirancang khusus untuk server Redis. Tapi itu memiliki opsi bawaan untuk melakukan lebih banyak lagi, kata Eitani. Sebagai contoh, dia menunjuk pada kemampuan HeadCrab untuk mencuri kunci SSH untuk menyusup ke server lain dan berpotensi mencuri data dan juga kemampuannya memuat modul kernel tanpa file untuk sepenuhnya membahayakan kernel server.

Assaf Morag, analis utama ancaman di Aqua, mengatakan perusahaan belum dapat mengaitkan serangan tersebut dengan aktor atau kelompok aktor ancaman yang diketahui. Namun dia menyarankan agar organisasi yang menggunakan server Redis harus menganggap pelanggaran penuh jika mereka mendeteksi HeadCrab di sistem mereka.

“Perkuat lingkungan Anda dengan memindai file konfigurasi Redis Anda, pastikan server memerlukan autentikasi dan tidak mengizinkan perintah “slaveof” jika tidak diperlukan, dan jangan memaparkan server ke Internet jika tidak diperlukan,” saran Morag.

Morag mengatakan pencarian Shodan menunjukkan lebih dari 42,000 server Redis terhubung ke Internet. Dari jumlah tersebut, sekitar 20,000 server mengizinkan semacam akses dan berpotensi terinfeksi oleh serangan brute-force atau eksploitasi kerentanan, katanya.

HeadCrab adalah malware kedua yang menargetkan Redis yang dilaporkan Aqua dalam beberapa bulan terakhir. Pada bulan Desember, vendor keamanan ditemukan Redigo, pintu belakang Redis ditulis dalam bahasa Go. Seperti halnya HeadCrab, Aqua menemukan malware tersebut saat pelaku ancaman memasang redis honeypot yang rentan.

“Dalam beberapa tahun terakhir, server Redis telah menjadi sasaran penyerang, seringkali melalui kesalahan konfigurasi dan kerentanan,” menurut posting blog Aqua. “Karena server Redis menjadi lebih populer, frekuensi serangan meningkat.”

Redis menyatakan dalam sebuah pernyataan dukungannya untuk peneliti keamanan siber dan mengatakan ingin mengakui Aqua karena telah menyampaikan laporan tersebut ke komunitas Redis. "Laporan mereka menunjukkan potensi bahaya kesalahan konfigurasi Redis," kata pernyataan itu. “Kami mendorong semua pengguna Redis untuk mengikuti panduan keamanan dan praktik terbaik yang diterbitkan dalam sumber terbuka dan dokumentasi komersial kami.”

Tidak ada tanda-tanda bahwa perangkat lunak Redis Enterprise atau layanan Redis Cloud telah terpengaruh oleh serangan HeadCrab, tambah pernyataan itu.