Un attore di minacce sconosciuto ha estrapolato silenziosamente la criptovaluta Monero su server Redis open source in tutto il mondo per anni, utilizzando una variante di malware su misura che è praticamente non rilevabile da strumenti antivirus convenzionali e senza agenti.
Da settembre 2021, l'autore della minaccia ha compromesso almeno 1,200 server Redis, che migliaia di organizzazioni per lo più piccole utilizzano come database o cache, e ne ha assunto il controllo completo. I ricercatori di Aqua Nautilus, che hanno individuato la campagna quando un attacco ha colpito uno dei suoi honeypot, stanno monitorando il malware come "HeadCrab".
Malware sofisticato residente in memoria
In un post sul blog di questa settimana, il fornitore di sicurezza ha descritto HeadCrab come un malware residente in memoria che rappresenta una minaccia continua per i server Redis connessi a Internet. Molti di questi server non hanno l'autenticazione abilitata per impostazione predefinita perché sono pensati per essere eseguiti su reti sicure e chiuse.
di Aqua analisi di HeadCrab ha dimostrato che il malware è progettato per sfruttare il funzionamento di Redis durante la replica e la sincronizzazione dei dati archiviati su più nodi all'interno di un cluster Redis. Il processo prevede un comando che sostanzialmente consente agli amministratori di designare un server all'interno di un cluster Redis come "slave" di un altro server "master" all'interno del cluster. I server slave si sincronizzano con il server master ed eseguono una serie di azioni, incluso il download di eventuali moduli che potrebbero essere presenti sul server master. I moduli Redis sono file eseguibili che gli amministratori possono utilizzare per migliorare la funzionalità di un server Redis.
I ricercatori di Aqua hanno scoperto che HeadCrab sfrutta questo processo per caricare un file minatore di criptovaluta su Internet-esposto Sistemi Redis. Con l'attacco al suo honeypot, l'attore della minaccia, ad esempio, ha utilizzato il legittimo comando SLAVEOF Redis per designare l'honeypot Aqua come schiavo di un server master Redis controllato dall'attaccante. Il server principale ha quindi avviato un processo di sincronizzazione in cui l'autore della minaccia ha scaricato un modulo Redis dannoso contenente il malware HeadCrab.
Asaf Eitani, ricercatore di sicurezza presso Aqua, afferma che diverse caratteristiche di HeadCrab suggeriscono un alto grado di sofisticatezza e familiarità con gli ambienti Redis.
Un grande segno di ciò è l'utilizzo del framework del modulo Redis come strumento per eseguire azioni dannose, in questo caso il download del malware. Significativo è anche l'uso da parte del malware dell'API Redis per comunicare con un server di comando e controllo (C2) controllato da un utente malintenzionato ospitato su quello che sembrava essere un server legittimo ma compromesso, afferma Eitani.
"Il malware è creato appositamente per i server Redis, poiché si basa fortemente sull'utilizzo dell'API dei moduli Redis per comunicare con il suo operatore", osserva.
HeadCrab implementa sofisticate funzionalità di offuscamento per rimanere nascosto su sistemi compromessi, esegue più di 50 azioni in modo completamente privo di file e utilizza un caricatore dinamico per eseguire binari ed eludere il rilevamento. "L'autore della minaccia sta anche modificando il normale comportamento del servizio Redis per oscurarne la presenza e impedire ad altri attori della minaccia di infettare il server con la stessa configurazione errata che ha utilizzato per ottenere l'esecuzione", osserva Eitani. "Nel complesso, il malware è molto complesso e utilizza più metodi per ottenere un vantaggio sui difensori".
Il malware è ottimizzato per il cryptomining e sembra progettato su misura per i server Redis. Ma ha opzioni integrate per fare molto di più, dice Eitani. Come esempio, indica la capacità di HeadCrab di rubare chiavi SSH per infiltrarsi in altri server e potenzialmente rubare dati e anche la sua capacità di caricare un modulo kernel senza file per compromettere completamente il kernel di un server.
Assaf Morag, analista capo delle minacce presso Aqua, afferma che la società non è stata in grado di attribuire gli attacchi a nessun noto attore di minacce o gruppo di attori. Ma suggerisce che le organizzazioni che utilizzano i server Redis dovrebbero presumere una violazione completa se rilevano HeadCrab sui loro sistemi.
"Rafforza i tuoi ambienti eseguendo la scansione dei file di configurazione Redis, assicurati che il server richieda l'autenticazione e non consenta comandi "slaveof" se non necessari e non esporre il server a Internet se non necessario", consiglia Morag.
Morag afferma che una ricerca di Shodan ha mostrato più di 42,000 server Redis connessi a Internet. Di questi, circa 20,000 server hanno consentito una sorta di accesso e possono essere potenzialmente infettati da un attacco di forza bruta o da un exploit di vulnerabilità, afferma.
HeadCrab è il secondo malware mirato a Redis che Aqua ha segnalato negli ultimi mesi. A dicembre, il fornitore di sicurezza ha scoperto Redigo, una backdoor di Redis scritto nella lingua Go. Come con HeadCrab, Aqua ha scoperto il malware quando gli attori delle minacce si sono installati su un honeypot Redis vulnerabile.
"Negli ultimi anni, i server Redis sono stati presi di mira da aggressori, spesso a causa di errori di configurazione e vulnerabilità", secondo il post sul blog di Aqua. "Poiché i server Redis sono diventati più popolari, la frequenza degli attacchi è aumentata."
Redis ha espresso in una dichiarazione il suo sostegno ai ricercatori sulla sicurezza informatica e ha affermato di voler riconoscere Aqua per aver trasmesso il rapporto alla comunità Redis. "Il loro rapporto mostra i potenziali pericoli di una configurazione errata di Redis", afferma la dichiarazione. "Incoraggiamo tutti gli utenti Redis a seguire le linee guida sulla sicurezza e le best practice pubblicate nella nostra documentazione open source e commerciale".
Non ci sono segni che il software Redis Enterprise o i servizi Redis Cloud siano stati influenzati dagli attacchi HeadCrab, ha aggiunto la dichiarazione.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware