Ein unbekannter Bedrohungsakteur schürft seit Jahren im Stillen die Monero-Kryptowährung auf Open-Source-Redis-Servern auf der ganzen Welt und verwendet dabei eine maßgeschneiderte Malware-Variante, die von agentenlosen und herkömmlichen Antiviren-Tools praktisch nicht erkannt werden kann.
Seit September 2021 hat der Bedrohungsakteur mindestens 1,200 Redis-Server kompromittiert – die Tausende von meist kleineren Organisationen als Datenbank oder Cache verwenden – und die vollständige Kontrolle über sie übernommen. Forscher von Aqua Nautilus, die die Kampagne bei einem Angriff auf einen ihrer Honeypots entdeckten, verfolgen die Malware als „HeadCrab“.
Ausgefeilte, speicherresidente Malware
In einem Blogbeitrag dieser Woche beschrieb der Sicherheitsanbieter HeadCrab als speicherresidente Malware, die eine ständige Bedrohung für mit dem Internet verbundene Redis-Server darstellt. Bei vielen dieser Server ist die Authentifizierung standardmäßig nicht aktiviert, da sie dazu bestimmt sind, in sicheren, geschlossenen Netzwerken ausgeführt zu werden.
Aquas Analyse von HeadCrab zeigten, dass die Malware darauf ausgelegt ist, die Funktionsweise von Redis beim Replizieren und Synchronisieren von Daten zu nutzen, die auf mehreren Knoten innerhalb eines Redis-Clusters gespeichert sind. Der Prozess beinhaltet einen Befehl, der es Administratoren grundsätzlich ermöglicht, einen Server innerhalb eines Redis-Clusters als „Slave“ für einen anderen „Master“-Server innerhalb des Clusters festzulegen. Slave-Server synchronisieren sich mit dem Master-Server und führen eine Vielzahl von Aktionen aus, einschließlich des Herunterladens von Modulen, die möglicherweise auf dem Master-Server vorhanden sind. Redis-Module sind ausführbare Dateien, die Administratoren verwenden können, um die Funktionalität eines Redis-Servers zu erweitern.
Die Forscher von Aqua fanden heraus, dass HeadCrab diesen Prozess ausnutzte, um a Cryptocurrency Miner auf Internet ausgesetzt Redis-Systeme. Beim Angriff auf seinen Honeypot nutzte der Bedrohungsakteur beispielsweise den legitimen SLAVEOF-Redis-Befehl, um den Aqua-Honeypot zum Slave eines vom Angreifer kontrollierten Master-Redis-Servers zu machen. Der Master-Server initiierte daraufhin einen Synchronisationsprozess, bei dem der Angreifer ein bösartiges Redis-Modul mit der HeadCrab-Malware herunterlud.
Asaf Eitani, Sicherheitsforscher bei Aqua, sagt, dass mehrere Funktionen von HeadCrab auf ein hohes Maß an Raffinesse und Vertrautheit mit Redis-Umgebungen hindeuten.
Ein großes Zeichen dafür ist die Verwendung des Redis-Modul-Frameworks als Werkzeug zur Durchführung böswilliger Aktionen – in diesem Fall das Herunterladen der Malware. Ebenfalls bedeutsam ist die Nutzung der Redis-API durch die Malware zur Kommunikation mit einem von Angreifern kontrollierten Command-and-Control-Server (C2), der auf einem scheinbar legitimen, aber kompromittierten Server gehostet wird, sagt Eitani.
„Die Malware wurde speziell für Redis-Server entwickelt, da sie stark auf die Nutzung der API von Redis-Modulen angewiesen ist, um mit ihrem Betreiber zu kommunizieren“, bemerkt er.
HeadCrab implementiert ausgefeilte Verschleierungsfunktionen, um auf kompromittierten Systemen verborgen zu bleiben, führt mehr als 50 Aktionen vollständig dateilos aus und verwendet einen dynamischen Loader, um Binärdateien auszuführen und der Erkennung zu entgehen. „Der Bedrohungsakteur ändert auch das normale Verhalten des Redis-Dienstes, um seine Anwesenheit zu verschleiern und andere Bedrohungsakteure daran zu hindern, den Server durch dieselbe Fehlkonfiguration zu infizieren, die er verwendet hat, um die Hinrichtung zu erreichen“, bemerkt Eitani. „Insgesamt ist die Malware sehr komplex und verwendet mehrere Methoden, um sich einen Vorteil gegenüber den Verteidigern zu verschaffen.“
Die Malware ist für Kryptomining optimiert und scheint speziell für Redis-Server entwickelt worden zu sein. Aber es hat eingebaute Optionen, um viel mehr zu tun, sagt Eitani. Als Beispiele verweist er auf die Fähigkeit von HeadCrab, SSH-Schlüssel zu stehlen, um andere Server zu infiltrieren und möglicherweise Daten zu stehlen, sowie auf seine Fähigkeit, ein dateiloses Kernelmodul zu laden, um den Kernel eines Servers vollständig zu kompromittieren.
Assaf Morag, Threat Lead Analyst bei Aqua, sagt, das Unternehmen sei nicht in der Lage gewesen, die Angriffe einem bekannten Bedrohungsakteur oder einer Gruppe von Akteuren zuzuordnen. Er schlägt jedoch vor, dass Organisationen, die Redis-Server verwenden, von einem vollständigen Verstoß ausgehen sollten, wenn sie HeadCrab auf ihren Systemen entdecken.
„Härten Sie Ihre Umgebungen, indem Sie Ihre Redis-Konfigurationsdateien scannen, stellen Sie sicher, dass der Server eine Authentifizierung erfordert und keine „slaveof“-Befehle zulässt, wenn dies nicht erforderlich ist, und setzen Sie den Server nicht dem Internet aus, wenn dies nicht erforderlich ist“, rät Morag.
Laut Morag hat eine Shodan-Suche mehr als 42,000 mit dem Internet verbundene Redis-Server ergeben. Davon erlaubten etwa 20,000 Server irgendeine Art von Zugriff und könnten möglicherweise durch einen Brute-Force-Angriff oder einen Schwachstellen-Exploit infiziert werden, sagt er.
HeadCrab ist die zweite auf Redis ausgerichtete Malware, die Aqua in den letzten Monaten gemeldet hat. Im Dezember entdeckte der Sicherheitsanbieter Redigo, eine Redis-Hintertür in der Go-Sprache geschrieben. Wie bei HeadCrab entdeckte Aqua die Malware, als Bedrohungsakteure auf einem anfälligen Redis-Honeypot installierten.
„In den letzten Jahren wurden Redis-Server von Angreifern angegriffen, oft durch Fehlkonfigurationen und Schwachstellen“, heißt es in Aquas Blogbeitrag. „Da Redis-Server immer beliebter wurden, hat die Häufigkeit von Angriffen zugenommen.“
Redis drückte in einer Erklärung seine Unterstützung für Cybersicherheitsforscher aus und sagte, es wolle Aqua dafür anerkennen, dass es den Bericht an die Redis-Community weitergegeben habe. „Ihr Bericht zeigt die potenziellen Gefahren einer Fehlkonfiguration von Redis“, heißt es in der Erklärung. „Wir ermutigen alle Redis-Benutzer, die Sicherheitsrichtlinien und Best Practices zu befolgen, die in unserer Open-Source- und kommerziellen Dokumentation veröffentlicht sind.“
Es gebe keine Anzeichen dafür, dass Redis Enterprise-Software oder Redis Cloud-Dienste von den HeadCrab-Angriffen betroffen seien, heißt es in der Erklärung weiter.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware