Tuntematon uhkatoimija on hiljaa louhinut Moneron kryptovaluuttaa avoimen lähdekoodin Redis-palvelimilla ympäri maailmaa käyttämällä räätälöityä haittaohjelmaversiota, jota agentittomat ja perinteiset virustorjuntatyökalut eivät käytännössä pysty havaitsemaan.
Syyskuusta 2021 lähtien uhkatekijä on vaarantanut vähintään 1,200 XNUMX Redis-palvelinta – joita tuhannet enimmäkseen pienemmät organisaatiot käyttävät tietokantana tai välimuistina – ja ottanut ne kokonaan haltuun. Aqua Nautilusin tutkijat, jotka havaitsivat kampanjan hyökkäyksen osuessa yhteen sen hunajapurkuista, seuraavat haittaohjelmaa nimellä "HeadCrab".
Hienostunut, muistissa oleva haittaohjelma
Tämän viikon blogiviestissä tietoturvatoimittaja kuvaili HeadCrabia muistissa olevaksi haittaohjelmaksi, joka muodostaa jatkuvan uhan Internetiin yhdistetyille Redis-palvelimille. Monilla näistä palvelimista todennus ei ole oletusarvoisesti käytössä, koska ne on tarkoitettu toimimaan suojatuissa, suljetuissa verkoissa.
Aquan HeadCrabin analyysi osoitti, että haittaohjelma on suunniteltu hyödyntämään Redis-toimintaa, kun se replikoi ja synkronoi useisiin Redis-klusterin solmuihin tallennettuja tietoja. Prosessi sisältää komennon, jonka avulla järjestelmänvalvojat voivat periaatteessa nimetä Redis-klusterin palvelimen "orjaksi" toiselle klusterin "isäntä"palvelimelle. Orjapalvelimet synkronoituvat pääpalvelimen kanssa ja suorittavat erilaisia toimintoja, mukaan lukien pääpalvelimessa mahdollisesti olevien moduulien lataaminen. Redis-moduulit ovat suoritettavia tiedostoja, joiden avulla järjestelmänvalvojat voivat parantaa Redis-palvelimen toimivuutta.
Aquan tutkijat löysivät HeadCrabin hyödyntävän tätä prosessia ladatakseen a kryptovaluutan louhinta Internetissä altistettuna Redis järjestelmät. Hyökkäyksen yhteydessä sen honeypottia vastaan uhkatekijä esimerkiksi käytti laillista SLAVEOF Redis -komentoa nimetäkseen Aqua honeypotin hyökkääjän hallitseman Redis-pääpalvelimen orjaksi. Pääpalvelin aloitti sitten synkronointiprosessin, jossa uhkatekijä latasi haitallisen Redis-moduulin, joka sisälsi HeadCrab-haittaohjelman.
Aquan turvallisuustutkija Asaf Eitani sanoo, että useat HeadCrabin ominaisuudet viittaavat siihen, että Redis-ympäristöt ovat erittäin kehittyneitä ja tuttuja.
Yksi suuri merkki siitä on Redis-moduulikehyksen käyttö työkaluna haitallisten toimintojen suorittamiseen - tässä tapauksessa haittaohjelman lataamiseen. Merkittävää on myös se, että haittaohjelmat käyttävät Redis API:ta kommunikoimaan hyökkääjän ohjaaman komento- ja ohjauspalvelimen (C2) kanssa, jota isännöidään lailliselta mutta vaarantuneelta palvelimelta, Eitani sanoo.
"Haittaohjelma on rakennettu nimenomaan Redis-palvelimia varten, koska se luottaa suuresti Redis Modules API:n käyttöön kommunikoidakseen operaattorinsa kanssa", hän huomauttaa.
HeadCrab toteuttaa kehittyneitä hämärtymisominaisuuksia pysyäkseen piilossa vaarantuneissa järjestelmissä, suorittaa yli 50 toimintoa täysin tiedostottomalla tavalla ja käyttää dynaamista latausohjelmaa binäärien suorittamiseen ja havaitsemisen välttämiseen. "Uhkatoimija muokkaa myös Redis-palvelun normaalia käyttäytymistä hämärtääkseen sen läsnäoloa ja estääkseen muita uhkatoimijoita tartuttamasta palvelinta samalla virheellisellä kokoonpanolla, jolla hän käytti suorituksen saamiseen", Eitani huomauttaa. "Kaiken kaikkiaan haittaohjelma on erittäin monimutkainen ja käyttää useita menetelmiä puolustajien etulyöntiaseman saavuttamiseksi."
Haittaohjelma on optimoitu kryptominointiin ja näyttää räätälöityltä Redis-palvelimille. Mutta siinä on sisäänrakennetut mahdollisuudet tehdä paljon enemmän, Eitani sanoo. Esimerkkeinä hän mainitsee HeadCrabin kyvyn varastaa SSH-avaimia tunkeutuakseen muihin palvelimiin ja mahdollisesti varastaakseen tietoja sekä sen kykyä ladata tiedostoton ydinmoduuli vaarantaakseen palvelimen ytimen kokonaan.
Aquan uhkien johtava analyytikko Assaf Morag sanoo, että yhtiö ei ole kyennyt katsomaan hyökkäyksiä minkään tunnetun uhkatekijän tai toimijaryhmän ansioksi. Mutta hän ehdottaa, että Redis-palvelimia käyttävien organisaatioiden tulisi olettaa täydellinen tietomurto, jos he havaitsevat HeadCrabin järjestelmissään.
"Koveta ympäristösi skannaamalla Redis-määritystiedostot, varmista, että palvelin vaatii todennusta ja ei salli "slaveof"-komentoja, jos se ei ole välttämätöntä, äläkä altista palvelinta Internetille, jos se ei ole välttämätöntä", Morag neuvoo.
Morag sanoo, että Shodan-haku osoitti yli 42,000 20,000 Redis-palvelinta, jotka olivat yhteydessä Internetiin. Näistä noin XNUMX XNUMX palvelinta salli jonkinlaisen pääsyn, ja ne voivat mahdollisesti saada tartunnan raa'an voiman hyökkäyksestä tai haavoittuvuuden hyväksikäytöstä, hän sanoo.
HeadCrab on toinen Redis-kohdistettu haittaohjelma, jonka Aqua on raportoinut viime kuukausina. Joulukuussa tietoturvatoimittaja havaitsi Redigo, Redis-takaovi kirjoitettu Go-kielellä. Kuten HeadCrabin tapauksessa, Aqua havaitsi haittaohjelman, kun uhkatekijät asensivat haavoittuvaan Redis honeypottiin.
"Viime vuosina hyökkääjät ovat joutuneet Redis-palvelimien kohteeksi, usein virheellisten määritysten ja haavoittuvuuksien vuoksi", Aquan blogiviestin mukaan. "Kun Redis-palvelimet ovat yleistyneet, hyökkäysten määrä on lisääntynyt."
Redis ilmaisi lausunnossaan tukensa kyberturvallisuuden tutkijoille ja sanoi haluavansa antaa tunnustusta Aqualle raportin toimittamisesta Redis-yhteisölle. "Heidän raportti osoittaa mahdolliset vaarat Redisin väärinmäärityksestä", lausunnossa todettiin. "Kannustamme kaikkia Redis-käyttäjiä noudattamaan avoimessa lähdekoodissa ja kaupallisessa dokumentaatiossamme julkaistuja turvallisuusohjeita ja parhaita käytäntöjä."
Ei ole merkkejä siitä, että Redis Enterprise -ohjelmisto tai Redis Cloud -palvelut olisivat vaikuttaneet HeadCrab-hyökkäykset, lausunnossa lisättiin.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware