قام أحد الفاعلين المجهولين بالتعدين بهدوء على عملة Monero المشفرة على خوادم Redis مفتوحة المصدر حول العالم لسنوات ، باستخدام متغير برامج ضارة حسب الطلب لا يمكن اكتشافه فعليًا بواسطة أدوات مكافحة الفيروسات التقليدية بدون عوامل.
منذ أيلول (سبتمبر) 2021 ، قام ممثل التهديد باختراق ما لا يقل عن 1,200 خادم من خوادم Redis - والتي تستخدمها الآلاف من المؤسسات الأصغر حجمًا كقاعدة بيانات أو ذاكرة تخزين مؤقت - وسيطر عليها بشكل كامل. باحثون من Aqua Nautilus ، الذين رصدوا الحملة عندما أصاب هجوم أحد مواضع الجذب ، يتتبعون البرامج الضارة باسم "HeadCrab".
برامج ضارة متطورة ومقيمة في الذاكرة
في منشور مدونة هذا الأسبوع ، وصف بائع الأمن HeadCrab بأنه برنامج ضار مقيم في الذاكرة يمثل تهديدًا مستمرًا لخوادم Redis المتصلة بالإنترنت. لا يتم تمكين المصادقة افتراضيًا في العديد من هذه الخوادم لأنها تهدف إلى العمل على شبكات آمنة ومغلقة.
أكوا تحليل HeadCrab أظهر أن البرنامج الضار مصمم للاستفادة من طريقة عمل Redis عند نسخ البيانات المخزنة عبر عدة عقد داخل مجموعة Redis ومزامنتها. تتضمن العملية أمرًا يسمح بشكل أساسي للمسؤولين بتعيين خادم داخل مجموعة Redis كـ "تابع" لخادم "رئيسي" آخر داخل المجموعة. تتزامن الخوادم التابعة مع الخادم الرئيسي وتنفذ مجموعة متنوعة من الإجراءات ، بما في ذلك تنزيل أي وحدات نمطية قد تكون موجودة على الخادم الرئيسي. وحدات Redis النمطية هي ملفات قابلة للتنفيذ يمكن للمسؤولين استخدامها لتحسين وظائف خادم Redis.
وجد باحثو أكوا HeadCrab يستغل هذه العملية لتحميل ملف cryptocurrency مينر على الإنترنت مكشوفة أنظمة Redis. من خلال الهجوم على موقع الجذب الخاص به ، استخدم ممثل التهديد ، على سبيل المثال ، أمر SLAVEOF Redis الشرعي لتعيين Aqua honeypot باعتباره تابعًا لخادم Redis الرئيسي الذي يتحكم فيه المهاجم. بدأ الخادم الرئيسي بعد ذلك عملية مزامنة قام خلالها ممثل التهديد بتنزيل وحدة Redis ضارة تحتوي على برنامج HeadCrab الضار.
يقول Asaf Eitani ، الباحث الأمني في Aqua ، إن العديد من ميزات HeadCrab تشير إلى درجة عالية من التطور والإلمام ببيئات Redis.
إحدى العلامات الكبيرة على ذلك هي استخدام إطار عمل وحدة Redis كأداة لتنفيذ الإجراءات الضارة - في هذه الحالة ، تنزيل البرامج الضارة. يقول إيتاني إن من المهم أيضًا استخدام البرامج الضارة لواجهة برمجة تطبيقات Redis للتواصل مع خادم قيادة وتحكم (C2) يتحكم فيه المهاجمون مستضاف على ما يبدو أنه خادم شرعي ولكنه معرض للخطر.
"تم تصميم البرنامج الضار خصيصًا لخوادم Redis ، لأنه يعتمد بشكل كبير على استخدام Redis Modules API للتواصل مع مشغلها" ، يلاحظ.
يطبق HeadCrab ميزات تشويش متطورة ليظل مخفيًا في الأنظمة المخترقة ، وينفذ أكثر من 50 إجراءً بدون ملفات تمامًا ، ويستخدم أداة تحميل ديناميكية لتنفيذ الثنائيات وتجنب الاكتشاف. يلاحظ إيتاني: "يقوم ممثل التهديد أيضًا بتعديل السلوك العادي لخدمة Redis لإخفاء وجودها ومنع الجهات الفاعلة الأخرى من تهديد الخادم بنفس التهيئة الخاطئة التي استخدمها لتحقيق الإعدام". "بشكل عام ، تعد البرامج الضارة معقدة للغاية وتستخدم طرقًا متعددة لتحقيق التفوق على المدافعين."
تم تحسين البرنامج الضار للتشفير ويبدو أنه مصمم خصيصًا لخوادم Redis. يقول عيتاني إن لديها خيارات مضمنة للقيام بالكثير. على سبيل المثال ، يشير إلى قدرة HeadCrab على سرقة مفاتيح SSH للتسلل إلى الخوادم الأخرى وربما سرقة البيانات وأيضًا قدرتها على تحميل وحدة kernel بدون ملفات لتهديد نواة الخادم تمامًا.
يقول أساف موراج ، محلل التهديدات الرئيسي في شركة أكوا ، إن الشركة لم تكن قادرة على عزو الهجمات إلى أي ممثل تهديد معروف أو مجموعة جهات فاعلة. لكنه يقترح أن المنظمات التي تستخدم خوادم Redis يجب أن تفترض وجود خرق كامل إذا اكتشفوا HeadCrab على أنظمتهم.
تنصح موراج "بتقوية بيئاتك عن طريق فحص ملفات تكوين Redis الخاصة بك ، وتأكد من أن الخادم يتطلب مصادقة ولا يسمح بأوامر" slaveof "إذا لم يكن ذلك ضروريًا ، ولا تعرض الخادم للإنترنت إذا لم يكن ذلك ضروريًا".
يقول موراج إن البحث الذي أجرته شركة Shodan أظهر أن أكثر من 42,000 خادم من خوادم Redis متصلة بالإنترنت. من بين هذا ، هناك حوالي 20,000 خادم سمح بنوع من الوصول ويمكن أن يصاب بهجوم القوة الغاشمة أو استغلال الثغرات الأمنية ، كما يقول.
HeadCrab هو ثاني برنامج ضار يستهدف Redis يبلغ عنه Aqua في الأشهر الأخيرة. في ديسمبر ، اكتشف بائع الأمن Redigo ، باب خلفي من Redis مكتوب بلغة Go. كما هو الحال مع HeadCrab ، اكتشف Aqua البرنامج الضار عند تثبيت الجهات المهددة على موقع Redis Honeypot الضعيف.
وفقًا لمدونة Aqua ، "في السنوات الأخيرة ، تم استهداف خوادم Redis من قبل المهاجمين ، غالبًا من خلال التهيئة الخاطئة ونقاط الضعف". "نظرًا لأن خوادم Redis أصبحت أكثر شيوعًا ، فقد زاد تواتر الهجمات."
أعرب Redis في بيان عن دعمه لباحثي الأمن السيبراني ، وقال إنه يريد تكريم Aqua لإيصال التقرير إلى مجتمع Redis. وقال البيان "تقريرهم يظهر المخاطر المحتملة لسوء تكوين ريديس". "نشجع جميع مستخدمي Redis على اتباع إرشادات الأمان وأفضل الممارسات المنشورة في وثائقنا التجارية والمفتوحة المصدر."
وأضاف البيان أنه لا توجد مؤشرات على تأثر برنامج Redis Enterprise أو خدمات Redis Cloud بهجمات HeadCrab.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware