একজন অজানা হুমকি অভিনেতা বছরের পর বছর ধরে বিশ্বজুড়ে ওপেন সোর্স রেডিস সার্ভারে মনরো ক্রিপ্টোকারেন্সি খনন করে চলেছেন, একটি কাস্টম-মেড ম্যালওয়্যার ভেরিয়েন্ট ব্যবহার করে যা কার্যত এজেন্টহীন এবং প্রচলিত অ্যান্টিভাইরাস সরঞ্জামগুলির দ্বারা সনাক্ত করা যায় না৷
2021 সালের সেপ্টেম্বর থেকে, হুমকি অভিনেতা কমপক্ষে 1,200টি রেডিস সার্ভারের সাথে আপস করেছেন - যেগুলি হাজার হাজার ছোট সংস্থা ডাটাবেস বা ক্যাশে হিসাবে ব্যবহার করে - এবং তাদের উপর সম্পূর্ণ নিয়ন্ত্রণ নিয়েছে। অ্যাকোয়া নটিলাসের গবেষকরা, যারা অভিযানটি দেখেছেন যখন আক্রমণটি এর একটি মধুচক্রে আঘাত করেছে, তারা ম্যালওয়্যারটিকে "হেডক্র্যাব" হিসাবে ট্র্যাক করছে।
অত্যাধুনিক, মেমরি-আবাসিক ম্যালওয়্যার
এই সপ্তাহে একটি ব্লগ পোস্টে, নিরাপত্তা বিক্রেতা হেডক্র্যাবকে মেমরি-আবাসিক ম্যালওয়্যার হিসাবে বর্ণনা করেছেন যা ইন্টারনেট-সংযুক্ত রেডিস সার্ভারের জন্য একটি চলমান হুমকি উপস্থাপন করে। এই সার্ভারগুলির অনেকেরই ডিফল্টরূপে প্রমাণীকরণ সক্ষম করা নেই কারণ সেগুলি সুরক্ষিত, বন্ধ নেটওয়ার্কগুলিতে চালানোর জন্য।
অ্যাকোয়া হেডক্র্যাবের বিশ্লেষণ দেখিয়েছে যে রেডিস ক্লাস্টারের মধ্যে একাধিক নোড জুড়ে সংরক্ষিত ডেটা প্রতিলিপি এবং সিঙ্ক্রোনাইজ করার সময় রেডিস কীভাবে কাজ করে তার সুবিধা নেওয়ার জন্য ম্যালওয়্যারটি ডিজাইন করা হয়েছে। প্রক্রিয়াটিতে একটি কমান্ড জড়িত যা মূলত প্রশাসকদেরকে একটি রেডিস ক্লাস্টারের মধ্যে একটি সার্ভারকে ক্লাস্টারের মধ্যে অন্য একটি "মাস্টার" সার্ভারে "দাস" হিসাবে মনোনীত করার অনুমতি দেয়। স্লেভ সার্ভারগুলি মাস্টার সার্ভারের সাথে সিঙ্ক্রোনাইজ করে এবং মাস্টার সার্ভারে উপস্থিত হতে পারে এমন কোনও মডিউল ডাউনলোড করা সহ বিভিন্ন ক্রিয়া সম্পাদন করে। Redis মডিউল হল এক্সিকিউটেবল ফাইল যা অ্যাডমিনিস্ট্রেটররা একটি Redis সার্ভারের কার্যকারিতা বাড়াতে ব্যবহার করতে পারে।
Aqua এর গবেষকরা দেখেছেন হেডক্র্যাব একটি লোড করার জন্য এই প্রক্রিয়াটিকে কাজে লাগাচ্ছে ক্রিপ্টোকারেন্সি মাইনার ইন্টারনেটে উন্মুক্ত রেডিস সিস্টেম. এর হানিপটে আক্রমণের সাথে, হুমকি অভিনেতা, উদাহরণস্বরূপ, অ্যাকোয়া হানিপটকে আক্রমণকারী-নিয়ন্ত্রিত মাস্টার রেডিস সার্ভারের দাস হিসাবে মনোনীত করার জন্য বৈধ SLAVEOF Redis কমান্ড ব্যবহার করেছিলেন। মাস্টার সার্ভার তারপরে একটি সিঙ্ক্রোনাইজেশন প্রক্রিয়া শুরু করে যেখানে হুমকি অভিনেতা হেডক্র্যাব ম্যালওয়্যার ধারণকারী একটি ক্ষতিকারক রেডিস মডিউল ডাউনলোড করেছিল।
অ্যাকোয়া-এর নিরাপত্তা গবেষক আসাফ ইতানি বলেছেন, হেডক্র্যাবের বেশ কয়েকটি বৈশিষ্ট্য রেডিস পরিবেশের সাথে উচ্চ মাত্রার পরিশীলিততা এবং পরিচিতির পরামর্শ দেয়।
এর একটি বড় চিহ্ন হল রেডিস মডিউল ফ্রেমওয়ার্ককে দূষিত ক্রিয়া সম্পাদনের একটি হাতিয়ার হিসাবে ব্যবহার করা — এই ক্ষেত্রে, ম্যালওয়্যার ডাউনলোড করা। ইতানি বলেছেন যে ম্যালওয়্যার দ্বারা আক্রমণকারী-নিয়ন্ত্রিত কমান্ড-এন্ড-কন্ট্রোল সার্ভারের (C2) সাথে যোগাযোগের জন্য Redis API-এর ব্যবহার যা একটি বৈধ কিন্তু আপস করা সার্ভার বলে মনে হয়েছিল তাতে হোস্ট করাও উল্লেখযোগ্য।
"ম্যালওয়্যারটি বিশেষভাবে রেডিস সার্ভারের জন্য তৈরি করা হয়েছে, কারণ এটি তার অপারেটরের সাথে যোগাযোগ করার জন্য রেডিস মডিউল এপিআই ব্যবহারের উপর ব্যাপকভাবে নির্ভর করে," তিনি নোট করেন৷
হেডক্র্যাব আপোসকৃত সিস্টেমে লুকিয়ে থাকার জন্য অত্যাধুনিক অস্পষ্টতা বৈশিষ্ট্যগুলি প্রয়োগ করে, সম্পূর্ণ ফাইলবিহীন ফ্যাশনে 50 টিরও বেশি ক্রিয়া সম্পাদন করে এবং বাইনারি চালানো এবং সনাক্তকরণ এড়াতে একটি গতিশীল লোডার ব্যবহার করে। "হুমকি অভিনেতা রেডিস পরিষেবাটির উপস্থিতি অস্পষ্ট করার জন্য এবং অন্য হুমকি অভিনেতাদের সেই একই ভুল কনফিগারেশন দ্বারা সার্ভারকে সংক্রামিত করতে বাধা দেওয়ার জন্য তার স্বাভাবিক আচরণকেও সংশোধন করছেন," ইতানি নোট করেছেন। "সামগ্রিকভাবে, ম্যালওয়্যারটি খুব জটিল এবং ডিফেন্ডারদের উপর একটি প্রান্ত অর্জন করতে একাধিক পদ্ধতি ব্যবহার করে।"
ম্যালওয়্যারটি ক্রিপ্টোমিনিংয়ের জন্য অপ্টিমাইজ করা হয়েছে এবং রেডিস সার্ভারের জন্য কাস্টম-ডিজাইন করা হয়েছে। তবে এটিতে আরও অনেক কিছু করার জন্য অন্তর্নির্মিত বিকল্প রয়েছে, ইতানি বলেছেন। উদাহরণ হিসাবে, তিনি অন্যান্য সার্ভারে অনুপ্রবেশ করতে এবং সম্ভাব্য ডেটা চুরি করার জন্য হেডক্র্যাবের SSH কীগুলি চুরি করার ক্ষমতা এবং সার্ভারের কার্নেলকে সম্পূর্ণরূপে আপস করতে একটি ফাইলবিহীন কার্নেল মডিউল লোড করার ক্ষমতার দিকে নির্দেশ করেছেন।
অ্যাকোয়া-এর থ্রেট লিড অ্যানালিস্ট আসাফ মোরাগ বলেছেন, কোম্পানি কোনো পরিচিত হুমকি অভিনেতা বা অভিনেতাদের গ্রুপকে আক্রমণের জন্য দায়ী করতে পারেনি। কিন্তু তিনি পরামর্শ দেন যে রেডিস সার্ভার ব্যবহার করা সংস্থাগুলি তাদের সিস্টেমে হেডক্র্যাব সনাক্ত করলে সম্পূর্ণ লঙ্ঘন অনুমান করা উচিত।
"আপনার রেডিস কনফিগারেশন ফাইলগুলি স্ক্যান করে আপনার পরিবেশকে শক্ত করুন, সার্ভারের প্রমাণীকরণের প্রয়োজন আছে তা নিশ্চিত করুন এবং প্রয়োজন না হলে "স্লেভঅফ" কমান্ডের অনুমতি দেয় না এবং প্রয়োজন না হলে সার্ভারটিকে ইন্টারনেটে প্রকাশ করবেন না," মোরাগ পরামর্শ দেন।
মোরাগ বলেছেন যে শোডান অনুসন্ধানে দেখা গেছে যে 42,000 টিরও বেশি রেডিস সার্ভার ইন্টারনেটের সাথে সংযুক্ত রয়েছে। এর মধ্যে, প্রায় 20,000 সার্ভারগুলি কিছু ধরণের অ্যাক্সেসের অনুমতি দেয় এবং একটি নৃশংস-শক্তি আক্রমণ বা দুর্বলতার শোষণ দ্বারা সম্ভাব্য সংক্রামিত হতে পারে, তিনি বলেছেন।
HeadCrab হল দ্বিতীয় Redis-টার্গেটেড ম্যালওয়্যার যা Aqua সাম্প্রতিক মাসগুলিতে রিপোর্ট করেছে৷ ডিসেম্বরে, নিরাপত্তা বিক্রেতা আবিষ্কার রেডিগো, একটি রেডিস ব্যাকডোর গো ভাষায় লেখা। হেডক্র্যাবের মতো, অ্যাকোয়া ম্যালওয়্যারটি আবিষ্কার করে যখন হুমকি অভিনেতারা একটি দুর্বল রেডিস হানিপটে ইনস্টল করে।
"সাম্প্রতিক বছরগুলিতে, রেডিস সার্ভারগুলি আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু করা হয়েছে, প্রায়শই ভুল কনফিগারেশন এবং দুর্বলতার মাধ্যমে," অ্যাকোয়া-এর ব্লগ পোস্ট অনুসারে৷ "যেহেতু রেডিস সার্ভারগুলি আরও জনপ্রিয় হয়ে উঠেছে, আক্রমণের ফ্রিকোয়েন্সি বেড়েছে।"
রেডিস একটি বিবৃতিতে সাইবারসিকিউরিটি গবেষকদের জন্য তার সমর্থন প্রকাশ করেছে এবং বলেছে যে এটি রেডিস সম্প্রদায়ের কাছে প্রতিবেদনটি পৌঁছে দেওয়ার জন্য অ্যাকোয়াকে স্বীকৃতি দিতে চায়। "তাদের রিপোর্ট রেডিসকে ভুল কনফিগার করার সম্ভাব্য বিপদ দেখায়," বিবৃতিতে বলা হয়েছে। "আমরা সমস্ত Redis ব্যবহারকারীদের আমাদের ওপেন সোর্স এবং বাণিজ্যিক ডকুমেন্টেশনের মধ্যে প্রকাশিত নিরাপত্তা নির্দেশিকা এবং সেরা অনুশীলনগুলি অনুসরণ করতে উত্সাহিত করি।"
রেডিস এন্টারপ্রাইজ সফ্টওয়্যার বা রেডিস ক্লাউড পরিষেবাগুলি হেডক্র্যাব আক্রমণ দ্বারা প্রভাবিত হয়েছে এমন কোনও লক্ষণ নেই, বিবৃতিতে যোগ করা হয়েছে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware