یک عامل تهدید ناشناخته سالهاست که بدون سر و صدا در حال استخراج ارز دیجیتال Monero بر روی سرورهای منبع باز Redis در سراسر جهان است و با استفاده از یک بدافزار سفارشی ساخته شده است که عملاً توسط ابزارهای آنتی ویروس بدون عامل و معمولی قابل شناسایی نیست.
از سپتامبر 2021، عامل تهدید حداقل 1,200 سرور Redis را به خطر انداخته است - که هزاران سازمان عمدتاً کوچکتر از آنها به عنوان پایگاه داده یا حافظه پنهان استفاده می کنند - و کنترل کامل آنها را در دست گرفته است. محققان شرکت Aqua Nautilus که هنگام حمله به یکی از هانیپاتهای این کمپین متوجه شدند، بدافزار را بهعنوان «HeadCrab» ردیابی میکنند.
بدافزار پیچیده و مقیم حافظه
در یک پست وبلاگی این هفته، فروشنده امنیتی HeadCrab را به عنوان بدافزار مقیم حافظه توصیف کرد که تهدیدی مداوم برای سرورهای Redis متصل به اینترنت است. بسیاری از این سرورها بهطور پیشفرض احراز هویت را فعال نمیکنند، زیرا قرار است روی شبکههای امن و بسته اجرا شوند.
آکوا تجزیه و تحلیل HeadCrab نشان داد که این بدافزار به گونه ای طراحی شده است که از نحوه عملکرد Redis هنگام تکثیر و همگام سازی داده های ذخیره شده در چندین گره در یک Redis Cluster استفاده کند. این فرآیند شامل دستوری است که اساساً به مدیران اجازه میدهد تا یک سرور را در یک کلاستر Redis به عنوان یک «برده» برای سرور «مستر» دیگری در کلاستر تعیین کنند. سرورهای Slave با سرور اصلی همگام می شوند و اقدامات مختلفی را انجام می دهند، از جمله دانلود ماژول هایی که ممکن است در سرور اصلی وجود داشته باشد. ماژول های Redis فایل های اجرایی هستند که مدیران می توانند از آنها برای بهبود عملکرد سرور Redis استفاده کنند.
محققان Aqua دریافتند که HeadCrab از این فرآیند برای بارگذاری a استفاده می کند ماینر ارز دیجیتال در معرض اینترنت سیستم های ردیس. برای مثال، با حمله به هانیپات، عامل تهدید از فرمان قانونی SLAVEOF Redis برای تعیین هانیپات Aqua به عنوان برده سرور اصلی Redis تحت کنترل مهاجم استفاده کرد. سپس سرور اصلی یک فرآیند همگام سازی را آغاز کرد که در آن عامل تهدید یک ماژول مخرب Redis حاوی بدافزار HeadCrab را دانلود کرد.
Asaf Eitani، محقق امنیتی در Aqua، می گوید که چندین ویژگی HeadCrab نشان دهنده درجه بالایی از پیچیدگی و آشنایی با محیط های Redis است.
یکی از نشانه های بزرگ آن استفاده از چارچوب ماژول Redis به عنوان ابزاری برای انجام اقدامات مخرب است - در این مورد، دانلود بدافزار. ایتانی میگوید: همچنین استفاده بدافزار از Redis API برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل میشود، میزبانی میشود که به نظر میرسد یک سرور قانونی اما در معرض خطر است.
او خاطرنشان می کند: «این بدافزار به طور خاص برای سرورهای Redis ساخته شده است، زیرا به شدت به استفاده از Redis Modules API برای برقراری ارتباط با اپراتور خود متکی است.
HeadCrab ویژگی های پیچیده مبهم سازی را برای مخفی ماندن در سیستم های در معرض خطر پیاده سازی می کند، بیش از 50 عمل را به صورت کاملاً بدون فایل اجرا می کند، و از یک لودر پویا برای اجرای باینری ها و فرار از تشخیص استفاده می کند. ایتانی خاطرنشان میکند: «بازیگر تهدید همچنین رفتار عادی سرویس Redis را تغییر میدهد تا حضور آن را پنهان کند و از آلوده کردن سایر عوامل تهدید به سرور با همان پیکربندی نادرستی که برای اجرا استفاده کرد، جلوگیری کند.» به طور کلی، این بدافزار بسیار پیچیده است و از روشهای متعددی برای دستیابی به برتری در مدافعان استفاده میکند.»
این بدافزار برای رمزنگاری بهینه شده است و به نظر می رسد که به صورت سفارشی برای سرورهای Redis طراحی شده است. ایتانی می گوید، اما گزینه های داخلی برای انجام کارهای بیشتر دارد. به عنوان مثال، او به توانایی HeadCrab برای سرقت کلیدهای SSH برای نفوذ به سرورهای دیگر و به طور بالقوه سرقت داده ها و همچنین توانایی آن در بارگذاری یک ماژول هسته بدون فایل برای به خطر انداختن کامل هسته سرور اشاره می کند.
Assaf Morag، تحلیلگر ارشد تهدید در Aqua، میگوید که این شرکت نتوانسته است این حملات را به هیچ عامل تهدید یا گروهی از بازیگران شناختهشده نسبت دهد. اما او پیشنهاد میکند که سازمانهایی که از سرورهای Redis استفاده میکنند، در صورت شناسایی HeadCrab در سیستمهای خود، باید یک نقض کامل را فرض کنند.
Morag توصیه میکند: «محیطهای خود را با اسکن فایلهای پیکربندی Redis خود سختتر کنید، اطمینان حاصل کنید که سرور به احراز هویت نیاز دارد و در صورت عدم نیاز به دستورات «slaveof» اجازه نمیدهد، و در صورت لزوم، سرور را در معرض اینترنت قرار ندهید.
موراگ می گوید که جستجوی Shodan بیش از 42,000 سرور Redis متصل به اینترنت را نشان داد. او میگوید از این تعداد، حدود 20,000 سرور به نوعی اجازه دسترسی را میدهند و به طور بالقوه میتوانند توسط یک حمله brute-force یا سوء استفاده آسیبپذیری آلوده شوند.
HeadCrab دومین بدافزار هدفمند Redis است که Aqua در ماه های اخیر گزارش کرده است. در ماه دسامبر، فروشنده امنیتی کشف کرد Redigo، یک درب پشتی Redis به زبان Go نوشته شده است. همانند HeadCrab، Aqua این بدافزار را زمانی کشف کرد که عوامل تهدید روی هانیپات آسیبپذیر Redis نصب شدند.
بر اساس پست وبلاگ Aqua، "در سال های اخیر، سرورهای Redis اغلب از طریق پیکربندی نادرست و آسیب پذیری ها توسط مهاجمان هدف قرار گرفته اند." با محبوبیت بیشتر سرورهای Redis، دفعات حملات افزایش یافته است.
ردیس در بیانیهای حمایت خود را از محققان امنیت سایبری اعلام کرد و گفت که میخواهد Aqua را برای ارسال این گزارش به جامعه Redis به رسمیت بشناسد. در بیانیه آمده است: "گزارش آنها خطرات بالقوه پیکربندی نادرست Redis را نشان می دهد." ما همه کاربران Redis را تشویق میکنیم که از راهنماییهای امنیتی و بهترین شیوههای منتشر شده در منبع باز و اسناد تجاری ما پیروی کنند.»
این بیانیه افزوده است که هیچ نشانه ای مبنی بر اینکه نرم افزار Redis Enterprise یا سرویس های Redis Cloud تحت تأثیر حملات HeadCrab قرار گرفته باشد وجود ندارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware