En ukendt trusselsaktør har stille og roligt udvindet Monero-cryptocurrency på open source Redis-servere rundt om i verden i årevis ved hjælp af en skræddersyet malware-variant, der er praktisk talt uopdagelig af agentløse og konventionelle antivirusværktøjer.
Siden september 2021 har trusselsaktøren kompromitteret mindst 1,200 Redis-servere - som tusindvis af for det meste mindre organisationer bruger som en database eller en cache - og taget fuldstændig kontrol over dem. Forskere fra Aqua Nautilus, der opdagede kampagnen, da et angreb ramte en af dens honeypots, sporer malwaren som "HeadCrab."
Sofistikeret, hukommelsesbaseret malware
I et blogindlæg i denne uge beskrev sikkerhedsleverandøren HeadCrab som hukommelsesresident malware, der udgør en vedvarende trussel mod internetforbundne Redis-servere. Mange af disse servere har ikke autentificering aktiveret som standard, fordi de er beregnet til at køre på sikre, lukkede netværk.
Aqua's analyse af HeadCrab viste, at malwaren er designet til at drage fordel af, hvordan Redis fungerer, når man replikerer og synkroniserer data, der er gemt på tværs af flere noder i en Redis-klynge. Processen involverer en kommando, der grundlæggende giver administratorer mulighed for at udpege en server i en Redis Cluster som en "slave" til en anden "master" server i klyngen. Slaveservere synkroniserer med masterserveren og udfører en række handlinger, herunder download af moduler, der måtte være til stede på masterserveren. Redis-moduler er eksekverbare filer, som administratorer kan bruge til at forbedre funktionaliteten af en Redis-server.
Aquas forskere fandt, at HeadCrab udnyttede denne proces til at indlæse en cryptocurrency minearbejder på internet-eksponeret Redis systemer. Med angrebet på sin honeypot brugte trusselsaktøren for eksempel den legitime SLAVEOF Redis-kommando til at udpege Aqua honeypot som slave af en angriber-kontrolleret master Redis-server. Masterserveren igangsatte derefter en synkroniseringsproces, hvor trusselsaktøren downloadede et ondsindet Redis-modul indeholdende HeadCrab-malwaren.
Asaf Eitani, sikkerhedsforsker hos Aqua, siger, at flere funktioner i HeadCrab antyder en høj grad af sofistikering og fortrolighed med Redis-miljøer.
Et stort tegn på det er brugen af Redis-modulets ramme som et værktøj til at udføre ondsindede handlinger - i dette tilfælde at downloade malware. Også vigtig er malwarens brug af Redis API til at kommunikere med en angriberstyret kommando-og-kontrol-server (C2), der er hostet på, hvad der så ud til at være en legitim, men kompromitteret server, siger Eitani.
"Malwaren er specielt bygget til Redis-servere, da den er stærkt afhængig af Redis Modules API-brug til at kommunikere med sin operatør," bemærker han.
HeadCrab implementerer sofistikerede sløringsfunktioner for at forblive skjulte på kompromitterede systemer, udfører mere end 50 handlinger på en fuldstændig filløs måde og bruger en dynamisk loader til at udføre binære filer og undgå registrering. "Trusselsaktøren ændrer også Redis-tjenestens normale adfærd for at skjule dens tilstedeværelse og for at forhindre andre trusselsaktører i at inficere serveren med den samme fejlkonfiguration, som han brugte til at få eksekvering," bemærker Eitani. "Samlet set er malwaren meget kompleks og bruger flere metoder til at opnå en fordel på forsvarere."
Malwaren er optimeret til kryptominering og ser ud til at være specialdesignet til Redis-servere. Men den har indbyggede muligheder for at gøre meget mere, siger Eitani. Som eksempler peger han på HeadCrabs evne til at stjæle SSH-nøgler for at infiltrere andre servere og potentielt stjæle data og også dens evne til at indlæse et filløst kernemodul for fuldstændigt at kompromittere en servers kerne.
Assaf Morag, trusselsanalytiker hos Aqua, siger, at virksomheden ikke har været i stand til at tilskrive angrebene nogen kendt trusselsaktør eller gruppe af aktører. Men han foreslår, at organisationer, der bruger Redis-servere, bør antage et fuldstændigt brud, hvis de opdager HeadCrab på deres systemer.
"Hærd dine miljøer ved at scanne dine Redis-konfigurationsfiler, sørg for, at serveren kræver godkendelse og ikke tillader "slaveof"-kommandoer, hvis det ikke er nødvendigt, og udsæt ikke serveren for internettet, hvis det ikke er nødvendigt," råder Morag.
Morag siger, at en Shodan-søgning viste mere end 42,000 Redis-servere forbundet til internettet. Heraf tillod omkring 20,000 servere en form for adgang og kan potentielt blive inficeret af et brute-force-angreb eller sårbarhedsudnyttelse, siger han.
HeadCrab er den anden Redis-målrettede malware, som Aqua har rapporteret i de seneste måneder. I december opdagede sikkerhedsleverandøren Redigo, en Redis-bagdør skrevet på Go-sproget. Som med HeadCrab opdagede Aqua malwaren, da trusselsaktører installerede på en sårbar Redis honeypot.
"I de seneste år er Redis-servere blevet målrettet af angribere, ofte gennem fejlkonfiguration og sårbarheder," ifølge Aquas blogindlæg. "Efterhånden som Redis-servere er blevet mere populære, er angrebsfrekvensen steget."
Redis udtrykte i en erklæring sin støtte til cybersikkerhedsforskere og sagde, at de ønskede at anerkende Aqua for at få rapporten ud til Redis-samfundet. "Deres rapport viser de potentielle farer ved at fejlkonfigurere Redis," sagde erklæringen. "Vi opfordrer alle Redis-brugere til at følge sikkerhedsvejledningen og bedste praksis offentliggjort i vores open source og kommercielle dokumentation."
Der er ingen tegn på, at Redis Enterprise-software eller Redis Cloud-tjenester er blevet påvirket af HeadCrab-angrebene, tilføjes erklæringen.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware