Un acteur malveillant inconnu exploite discrètement la crypto-monnaie Monero sur des serveurs Redis open source dans le monde entier depuis des années, en utilisant une variante de logiciel malveillant sur mesure qui est pratiquement indétectable par les outils antivirus sans agent et conventionnels.
Depuis septembre 2021, l'acteur menaçant a compromis au moins 1,200 XNUMX serveurs Redis - que des milliers d'organisations, pour la plupart plus petites, utilisent comme base de données ou cache - et en a pris le contrôle total. Les chercheurs d'Aqua Nautilus, qui ont repéré la campagne lorsqu'une attaque a frappé l'un de ses pots de miel, suivent le malware sous le nom de "HeadCrab".
Logiciels malveillants sophistiqués résidant en mémoire
Dans un article de blog cette semaine, le fournisseur de sécurité a décrit HeadCrab comme un malware résident en mémoire qui présente une menace permanente pour les serveurs Redis connectés à Internet. Beaucoup de ces serveurs n'ont pas l'authentification activée par défaut car ils sont destinés à fonctionner sur des réseaux sécurisés et fermés.
Aqua's analyse de HeadCrab ont montré que le logiciel malveillant est conçu pour tirer parti du fonctionnement de Redis lors de la réplication et de la synchronisation des données stockées sur plusieurs nœuds au sein d'un cluster Redis. Le processus implique une commande qui permet essentiellement aux administrateurs de désigner un serveur au sein d'un cluster Redis comme "esclave" d'un autre serveur "maître" au sein du cluster. Les serveurs esclaves se synchronisent avec le serveur maître et exécutent diverses actions, notamment le téléchargement de tous les modules éventuellement présents sur le serveur maître. Les modules Redis sont des fichiers exécutables que les administrateurs peuvent utiliser pour améliorer les fonctionnalités d'un serveur Redis.
Les chercheurs d'Aqua ont découvert que HeadCrab exploitait ce processus pour charger un mineur de crypto-monnaie sur Internet Systèmes Redis. Avec l'attaque de son pot de miel, l'acteur menaçant, par exemple, a utilisé la commande légitime SLAVEOF Redis pour désigner le pot de miel Aqua comme esclave d'un serveur Redis maître contrôlé par l'attaquant. Le serveur maître a ensuite lancé un processus de synchronisation dans lequel l'auteur de la menace a téléchargé un module Redis malveillant contenant le logiciel malveillant HeadCrab.
Asaf Eitani, chercheur en sécurité chez Aqua, affirme que plusieurs fonctionnalités de HeadCrab suggèrent un degré élevé de sophistication et de familiarité avec les environnements Redis.
Un grand signe de cela est l'utilisation du framework de modules Redis comme outil pour effectuer des actions malveillantes - dans ce cas, télécharger le logiciel malveillant. L'utilisation par le logiciel malveillant de l'API Redis pour communiquer avec un serveur de commande et de contrôle (C2) contrôlé par l'attaquant et hébergé sur ce qui semblait être un serveur légitime mais compromis est également importante, a déclaré Eitani.
"Le malware est spécialement conçu pour les serveurs Redis, car il s'appuie fortement sur l'utilisation de l'API des modules Redis pour communiquer avec son opérateur", note-t-il.
HeadCrab implémente des fonctionnalités d'obfuscation sophistiquées pour rester cachées sur les systèmes compromis, exécute plus de 50 actions de manière totalement sans fichier et utilise un chargeur dynamique pour exécuter des fichiers binaires et échapper à la détection. "L'acteur de la menace modifie également le comportement normal du service Redis pour masquer sa présence et empêcher d'autres acteurs de la menace d'infecter le serveur par la même mauvaise configuration qu'il a utilisée pour obtenir l'exécution", note Eitani. "Dans l'ensemble, le logiciel malveillant est très complexe et utilise plusieurs méthodes pour prendre l'avantage sur les défenseurs."
Le malware est optimisé pour le cryptomining et semble conçu sur mesure pour les serveurs Redis. Mais il a des options intégrées pour faire beaucoup plus, dit Eitani. À titre d'exemple, il souligne la capacité de HeadCrab à voler des clés SSH pour infiltrer d'autres serveurs et potentiellement voler des données, ainsi que sa capacité à charger un module de noyau sans fichier pour compromettre complètement le noyau d'un serveur.
Assaf Morag, analyste principal des menaces chez Aqua, affirme que la société n'a pas été en mesure d'attribuer les attaques à un acteur ou groupe d'acteurs connu. Mais il suggère que les organisations utilisant des serveurs Redis devraient assumer une violation complète si elles détectent HeadCrab sur leurs systèmes.
« Renforcez vos environnements en analysant vos fichiers de configuration Redis, assurez-vous que le serveur nécessite une authentification et n'autorise pas les commandes « slaveof » si ce n'est pas nécessaire, et n'exposez pas le serveur à Internet si ce n'est pas nécessaire », conseille Morag.
Morag dit qu'une recherche Shodan a montré plus de 42,000 20,000 serveurs Redis connectés à Internet. Parmi ceux-ci, quelque XNUMX XNUMX serveurs ont autorisé une sorte d'accès et peuvent potentiellement être infectés par une attaque par force brute ou un exploit de vulnérabilité, dit-il.
HeadCrab est le deuxième malware ciblé par Redis signalé par Aqua ces derniers mois. En décembre, le fournisseur de sécurité a découvert Redigo, une porte dérobée Redis écrit en langage Go. Comme pour HeadCrab, Aqua a découvert le logiciel malveillant lorsque des acteurs malveillants se sont installés sur un pot de miel Redis vulnérable.
"Ces dernières années, les serveurs Redis ont été la cible d'attaquants, souvent en raison d'une mauvaise configuration et de vulnérabilités", selon le blog d'Aqua. "Alors que les serveurs Redis sont devenus plus populaires, la fréquence des attaques a augmenté."
Redis a exprimé dans un communiqué son soutien aux chercheurs en cybersécurité et a déclaré vouloir remercier Aqua pour avoir transmis le rapport à la communauté Redis. "Leur rapport montre les dangers potentiels d'une mauvaise configuration de Redis", indique le communiqué. "Nous encourageons tous les utilisateurs de Redis à suivre les conseils de sécurité et les meilleures pratiques publiés dans notre documentation open source et commerciale."
Rien n'indique que le logiciel Redis Enterprise ou les services Redis Cloud aient été touchés par les attaques HeadCrab, ajoute le communiqué.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware