एक अज्ञात खतरा अभिनेता वर्षों से दुनिया भर के ओपन सोर्स रेडिस सर्वरों पर चुपचाप मोनरो क्रिप्टोक्यूरेंसी का खनन कर रहा है, एक कस्टम-मेड मालवेयर वेरिएंट का उपयोग कर रहा है जो वास्तव में एजेंट रहित और पारंपरिक एंटीवायरस टूल द्वारा पता नहीं लगाया जा सकता है।
सितंबर 2021 से, खतरे वाले अभिनेता ने कम से कम 1,200 रेडिस सर्वरों से समझौता किया है - जो कि हजारों ज्यादातर छोटे संगठन डेटाबेस या कैश के रूप में उपयोग करते हैं - और उन पर पूरा नियंत्रण कर लिया है। एक्वा नॉटिलस के शोधकर्ता, जिन्होंने अभियान को तब देखा जब इसके एक हनीपॉट पर हमला हुआ, वे मैलवेयर को "हेडक्रैब" के रूप में ट्रैक कर रहे हैं।
परिष्कृत, स्मृति-निवासी मैलवेयर
इस हफ्ते एक ब्लॉग पोस्ट में, सुरक्षा विक्रेता ने हेडक्रैब को स्मृति-निवासी मैलवेयर के रूप में वर्णित किया जो इंटरनेट से जुड़े रेडिस सर्वरों के लिए एक सतत खतरा प्रस्तुत करता है। इनमें से कई सर्वरों में डिफ़ॉल्ट रूप से प्रमाणीकरण सक्षम नहीं होता है क्योंकि वे सुरक्षित, बंद नेटवर्क पर चलने के लिए होते हैं।
एक्वा के हेडक्रैब का विश्लेषण दिखाया गया है कि रेडिस क्लस्टर के भीतर कई नोड्स में संग्रहीत डेटा की नकल और सिंक्रनाइज़ करते समय रेडिस कैसे काम करता है, इसका लाभ उठाने के लिए मैलवेयर को डिज़ाइन किया गया है। इस प्रक्रिया में एक कमांड शामिल है जो मूल रूप से प्रशासकों को रेडिस क्लस्टर के भीतर एक सर्वर को क्लस्टर के भीतर दूसरे "मास्टर" सर्वर के "दास" के रूप में नामित करने की अनुमति देता है। स्लेव सर्वर मास्टर सर्वर के साथ सिंक्रोनाइज़ करते हैं और मास्टर सर्वर पर मौजूद किसी भी मॉड्यूल को डाउनलोड करने सहित कई तरह के कार्य करते हैं। Redis मॉड्यूल निष्पादन योग्य फ़ाइलें हैं जिनका उपयोग व्यवस्थापक Redis सर्वर की कार्यक्षमता बढ़ाने के लिए कर सकते हैं।
एक्वा के शोधकर्ताओं ने हेडक्रैब को लोड करने के लिए इस प्रक्रिया का फायदा उठाते हुए पाया क्रिप्टोक्यूचरिस माइनर इंटरनेट पर उजागर रेडिस सिस्टम. अपने हनीपोट पर हमले के साथ, उदाहरण के लिए, खतरे के अभिनेता ने एक्वा हनीपोट को एक हमलावर-नियंत्रित मास्टर रेडिस सर्वर के दास के रूप में नामित करने के लिए वैध स्लेवोफ रेडिस कमांड का इस्तेमाल किया। मास्टर सर्वर ने तब एक सिंक्रनाइज़ेशन प्रक्रिया शुरू की जिसमें खतरे वाले अभिनेता ने हेडक्रैब मैलवेयर वाले एक दुर्भावनापूर्ण रेडिस मॉड्यूल को डाउनलोड किया।
एक्वा के सुरक्षा शोधकर्ता आसफ ईतानी का कहना है कि हेडक्रैब की कई विशेषताएं रेडिस वातावरण के साथ उच्च स्तर की परिष्कार और परिचितता का सुझाव देती हैं।
इसका एक बड़ा संकेत रेडिस मॉड्यूल फ्रेमवर्क का दुर्भावनापूर्ण कार्य करने के लिए एक उपकरण के रूप में उपयोग है - इस मामले में, मैलवेयर डाउनलोड करना। यह भी महत्वपूर्ण है कि रेडिस एपीआई का मैलवेयर एक हमलावर-नियंत्रित कमांड-एंड-कंट्रोल सर्वर (C2) के साथ संचार करने के लिए उपयोग किया जाता है, जो एक वैध लेकिन समझौता किए गए सर्वर के रूप में दिखाई देता है, ईतानी कहते हैं।
"मैलवेयर विशेष रूप से रेडिस सर्वर के लिए बनाया गया है, क्योंकि यह अपने ऑपरेटर के साथ संवाद करने के लिए रेडिस मॉड्यूल एपीआई उपयोग पर बहुत अधिक निर्भर करता है," उन्होंने नोट किया।
हेडक्रैब समझौता किए गए सिस्टम पर छिपे रहने के लिए परिष्कृत आपत्तिजनक सुविधाओं को लागू करता है, पूरी तरह से फाइल रहित फैशन में 50 से अधिक कार्यों को निष्पादित करता है, और बायनेरिज़ को निष्पादित करने और पहचान से बचने के लिए एक गतिशील लोडर का उपयोग करता है। "खतरा अभिनेता रेडिस सेवा के सामान्य व्यवहार को भी अपनी उपस्थिति को अस्पष्ट करने के लिए संशोधित कर रहा है और अन्य खतरे वाले अभिनेताओं को उसी गलत कॉन्फ़िगरेशन द्वारा सर्वर को संक्रमित करने से रोकने के लिए वह निष्पादन प्राप्त करने के लिए उपयोग किया जाता है," एटानी ने नोट किया। "कुल मिलाकर, मैलवेयर बहुत जटिल है और रक्षकों पर बढ़त हासिल करने के लिए कई तरीकों का उपयोग करता है।"
मैलवेयर क्रिप्टोमाइनिंग के लिए अनुकूलित है और Redis सर्वर के लिए कस्टम-डिज़ाइन किया गया प्रतीत होता है। लेकिन इसमें और भी बहुत कुछ करने के लिए बिल्ट-इन विकल्प हैं, इटानी कहते हैं। उदाहरण के तौर पर, वह अन्य सर्वरों में घुसपैठ करने और संभावित रूप से डेटा चोरी करने के लिए SSH कुंजियों को चुराने की हेडक्रैब की क्षमता और सर्वर के कर्नेल को पूरी तरह से समझौता करने के लिए फ़ाइल रहित कर्नेल मॉड्यूल को लोड करने की क्षमता की ओर इशारा करता है।
एक्वा में थ्रेट लीड एनालिस्ट असफ मोराग का कहना है कि कंपनी हमलों के लिए किसी भी जाने-माने थ्रेट एक्टर या एक्टर्स के ग्रुप को जिम्मेदार नहीं ठहरा पाई है। लेकिन उनका सुझाव है कि रेडिस सर्वर का उपयोग करने वाले संगठनों को अपने सिस्टम पर हेडक्रैब का पता लगाने पर पूर्ण उल्लंघन करना चाहिए।
"अपनी रेडिस कॉन्फ़िगरेशन फ़ाइलों को स्कैन करके अपने वातावरण को कठोर करें, सुनिश्चित करें कि सर्वर को प्रमाणीकरण की आवश्यकता है और यदि आवश्यक नहीं है तो" गुलाम "आदेशों की अनुमति नहीं देता है, और यदि आवश्यक नहीं है तो सर्वर को इंटरनेट पर उजागर न करें," मोराग सलाह देते हैं।
मोराग का कहना है कि एक शोडान खोज ने इंटरनेट से जुड़े 42,000 से अधिक रेडिस सर्वर दिखाए। इसमें से कुछ 20,000 सर्वरों ने किसी प्रकार की पहुंच की अनुमति दी है और संभावित रूप से एक क्रूर बल के हमले या भेद्यता के शोषण से संक्रमित हो सकते हैं, वे कहते हैं।
हेडक्रैब दूसरा रेडिस-लक्षित मैलवेयर है जिसे एक्वा ने हाल के महीनों में रिपोर्ट किया है। दिसंबर में, सुरक्षा विक्रेता ने खोज की रेडिगो, एक रेडिस बैकडोर गो भाषा में लिखा गया है। हेडक्रैब की तरह, एक्वा ने मैलवेयर की खोज तब की जब थ्रेट एक्टर्स ने एक कमजोर रेडिस हनीपॉट पर स्थापित किया।
एक्वा के ब्लॉग पोस्ट के अनुसार, "हाल के वर्षों में, रेडिस सर्वरों को हमलावरों द्वारा अक्सर गलत कॉन्फ़िगरेशन और कमजोरियों के माध्यम से लक्षित किया गया है।" "रेडिस सर्वर अधिक लोकप्रिय हो गए हैं, हमलों की आवृत्ति में वृद्धि हुई है।"
रेडिस ने एक बयान में साइबर सुरक्षा शोधकर्ताओं के लिए अपना समर्थन व्यक्त किया और कहा कि वह रेडिस समुदाय को रिपोर्ट प्राप्त करने के लिए एक्वा को मान्यता देना चाहता है। बयान में कहा गया है, "उनकी रिपोर्ट रेडिस को गलत तरीके से कॉन्फ़िगर करने के संभावित खतरों को दर्शाती है।" "हम सभी रेडिस उपयोगकर्ताओं को हमारे ओपन सोर्स और वाणिज्यिक दस्तावेज़ीकरण के भीतर प्रकाशित सुरक्षा मार्गदर्शन और सर्वोत्तम प्रथाओं का पालन करने के लिए प्रोत्साहित करते हैं।"
बयान में कहा गया है कि इस बात के कोई संकेत नहीं हैं कि रेडिस एंटरप्राइज सॉफ्टवेयर या रेडिस क्लाउड सेवाएं हेडक्रैब हमलों से प्रभावित हुई हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware