تعداد زیادی از سرورهای Redis که توسط بدافزارهای پیچیده سفارشی ساخته شده اند

یک عامل تهدید ناشناخته سال‌هاست که بدون سر و صدا در حال استخراج ارز دیجیتال Monero بر روی سرورهای منبع باز Redis در سراسر جهان است و با استفاده از یک بدافزار سفارشی ساخته شده است که عملاً توسط ابزارهای آنتی ویروس بدون عامل و معمولی قابل شناسایی نیست.

از سپتامبر 2021، عامل تهدید حداقل 1,200 سرور Redis را به خطر انداخته است - که هزاران سازمان عمدتاً کوچکتر از آنها به عنوان پایگاه داده یا حافظه پنهان استفاده می کنند - و کنترل کامل آنها را در دست گرفته است. محققان شرکت Aqua Nautilus که هنگام حمله به یکی از هانی‌پات‌های این کمپین متوجه شدند، بدافزار را به‌عنوان «HeadCrab» ردیابی می‌کنند.

بدافزار پیچیده و مقیم حافظه

در یک پست وبلاگی این هفته، فروشنده امنیتی HeadCrab را به عنوان بدافزار مقیم حافظه توصیف کرد که تهدیدی مداوم برای سرورهای Redis متصل به اینترنت است. بسیاری از این سرورها به‌طور پیش‌فرض احراز هویت را فعال نمی‌کنند، زیرا قرار است روی شبکه‌های امن و بسته اجرا شوند.

آکوا تجزیه و تحلیل HeadCrab نشان داد که این بدافزار به گونه ای طراحی شده است که از نحوه عملکرد Redis هنگام تکثیر و همگام سازی داده های ذخیره شده در چندین گره در یک Redis Cluster استفاده کند. این فرآیند شامل دستوری است که اساساً به مدیران اجازه می‌دهد تا یک سرور را در یک کلاستر Redis به عنوان یک «برده» برای سرور «مستر» دیگری در کلاستر تعیین کنند. سرورهای Slave با سرور اصلی همگام می شوند و اقدامات مختلفی را انجام می دهند، از جمله دانلود ماژول هایی که ممکن است در سرور اصلی وجود داشته باشد. ماژول های Redis فایل های اجرایی هستند که مدیران می توانند از آنها برای بهبود عملکرد سرور Redis استفاده کنند.

محققان Aqua دریافتند که HeadCrab از این فرآیند برای بارگذاری a استفاده می کند ماینر ارز دیجیتال در معرض اینترنت سیستم های ردیس. برای مثال، با حمله به هانی‌پات، عامل تهدید از فرمان قانونی SLAVEOF Redis برای تعیین هانی‌پات Aqua به عنوان برده سرور اصلی Redis تحت کنترل مهاجم استفاده کرد. سپس سرور اصلی یک فرآیند همگام سازی را آغاز کرد که در آن عامل تهدید یک ماژول مخرب Redis حاوی بدافزار HeadCrab را دانلود کرد.

Asaf Eitani، محقق امنیتی در Aqua، می گوید که چندین ویژگی HeadCrab نشان دهنده درجه بالایی از پیچیدگی و آشنایی با محیط های Redis است.

یکی از نشانه های بزرگ آن استفاده از چارچوب ماژول Redis به عنوان ابزاری برای انجام اقدامات مخرب است - در این مورد، دانلود بدافزار. ایتانی می‌گوید: همچنین استفاده بدافزار از Redis API برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل می‌شود، میزبانی می‌شود که به نظر می‌رسد یک سرور قانونی اما در معرض خطر است. 

او خاطرنشان می کند: «این بدافزار به طور خاص برای سرورهای Redis ساخته شده است، زیرا به شدت به استفاده از Redis Modules API برای برقراری ارتباط با اپراتور خود متکی است.

HeadCrab ویژگی های پیچیده مبهم سازی را برای مخفی ماندن در سیستم های در معرض خطر پیاده سازی می کند، بیش از 50 عمل را به صورت کاملاً بدون فایل اجرا می کند، و از یک لودر پویا برای اجرای باینری ها و فرار از تشخیص استفاده می کند. ایتانی خاطرنشان می‌کند: «بازیگر تهدید همچنین رفتار عادی سرویس Redis را تغییر می‌دهد تا حضور آن را پنهان کند و از آلوده کردن سایر عوامل تهدید به سرور با همان پیکربندی نادرستی که برای اجرا استفاده کرد، جلوگیری کند.» به طور کلی، این بدافزار بسیار پیچیده است و از روش‌های متعددی برای دستیابی به برتری در مدافعان استفاده می‌کند.»

این بدافزار برای رمزنگاری بهینه شده است و به نظر می رسد که به صورت سفارشی برای سرورهای Redis طراحی شده است. ایتانی می گوید، اما گزینه های داخلی برای انجام کارهای بیشتر دارد. به عنوان مثال، او به توانایی HeadCrab برای سرقت کلیدهای SSH برای نفوذ به سرورهای دیگر و به طور بالقوه سرقت داده ها و همچنین توانایی آن در بارگذاری یک ماژول هسته بدون فایل برای به خطر انداختن کامل هسته سرور اشاره می کند.

Assaf Morag، تحلیلگر ارشد تهدید در Aqua، می‌گوید که این شرکت نتوانسته است این حملات را به هیچ عامل تهدید یا گروهی از بازیگران شناخته‌شده نسبت دهد. اما او پیشنهاد می‌کند که سازمان‌هایی که از سرورهای Redis استفاده می‌کنند، در صورت شناسایی HeadCrab در سیستم‌های خود، باید یک نقض کامل را فرض کنند.

Morag توصیه می‌کند: «محیط‌های خود را با اسکن فایل‌های پیکربندی Redis خود سخت‌تر کنید، اطمینان حاصل کنید که سرور به احراز هویت نیاز دارد و در صورت عدم نیاز به دستورات «slaveof» اجازه نمی‌دهد، و در صورت لزوم، سرور را در معرض اینترنت قرار ندهید.

موراگ می گوید که جستجوی Shodan بیش از 42,000 سرور Redis متصل به اینترنت را نشان داد. او می‌گوید از این تعداد، حدود 20,000 سرور به نوعی اجازه دسترسی را می‌دهند و به طور بالقوه می‌توانند توسط یک حمله brute-force یا سوء استفاده آسیب‌پذیری آلوده شوند.

HeadCrab دومین بدافزار هدفمند Redis است که Aqua در ماه های اخیر گزارش کرده است. در ماه دسامبر، فروشنده امنیتی کشف کرد Redigo، یک درب پشتی Redis به زبان Go نوشته شده است. همانند HeadCrab، Aqua این بدافزار را زمانی کشف کرد که عوامل تهدید روی هانی‌پات آسیب‌پذیر Redis نصب شدند.

بر اساس پست وبلاگ Aqua، "در سال های اخیر، سرورهای Redis اغلب از طریق پیکربندی نادرست و آسیب پذیری ها توسط مهاجمان هدف قرار گرفته اند." با محبوبیت بیشتر سرورهای Redis، دفعات حملات افزایش یافته است.

ردیس در بیانیه‌ای حمایت خود را از محققان امنیت سایبری اعلام کرد و گفت که می‌خواهد Aqua را برای ارسال این گزارش به جامعه Redis به رسمیت بشناسد. در بیانیه آمده است: "گزارش آنها خطرات بالقوه پیکربندی نادرست Redis را نشان می دهد." ما همه کاربران Redis را تشویق می‌کنیم که از راهنمایی‌های امنیتی و بهترین شیوه‌های منتشر شده در منبع باز و اسناد تجاری ما پیروی کنند.»

این بیانیه افزوده است که هیچ نشانه ای مبنی بر اینکه نرم افزار Redis Enterprise یا سرویس های Redis Cloud تحت تأثیر حملات HeadCrab قرار گرفته باشد وجود ندارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware