Há anos, um agente de ameaça desconhecido minera silenciosamente a criptomoeda Monero em servidores Redis de código aberto em todo o mundo, usando uma variante de malware personalizada que é praticamente indetectável por ferramentas antivírus convencionais e sem agente.
Desde setembro de 2021, o agente da ameaça comprometeu pelo menos 1,200 servidores Redis – que milhares de organizações menores usam como banco de dados ou cache – e assumiu o controle total sobre eles. Pesquisadores da Aqua Nautilus, que detectaram a campanha quando um ataque atingiu um de seus honeypots, estão rastreando o malware como “HeadCrab”.
Malware sofisticado residente na memória
Em uma postagem de blog esta semana, o fornecedor de segurança descreveu o HeadCrab como um malware residente na memória que apresenta uma ameaça contínua aos servidores Redis conectados à Internet. Muitos desses servidores não têm a autenticação habilitada por padrão porque devem ser executados em redes fechadas e seguras.
Aqua's Análise do HeadCrab mostrou que o malware foi projetado para aproveitar como o Redis funciona ao replicar e sincronizar dados armazenados em vários nós em um Cluster Redis. O processo envolve um comando que basicamente permite aos administradores designar um servidor dentro de um Cluster Redis como “escravo” para outro servidor “mestre” dentro do cluster. Os servidores escravos sincronizam com o servidor mestre e executam uma variedade de ações, incluindo o download de quaisquer módulos que possam estar presentes no servidor mestre. Os módulos Redis são arquivos executáveis que os administradores podem usar para aprimorar a funcionalidade de um servidor Redis.
Os pesquisadores da Aqua descobriram que o HeadCrab explorava esse processo para carregar um minério de criptografia exposto na Internet Sistemas Redis. Com o ataque ao seu honeypot, o agente da ameaça, por exemplo, usou o comando SLAVEOF Redis legítimo para designar o Aqua honeypot como escravo de um servidor Redis mestre controlado pelo invasor. O servidor mestre iniciou um processo de sincronização no qual o agente da ameaça baixou um módulo Redis malicioso contendo o malware HeadCrab.
Asaf Eitani, pesquisador de segurança da Aqua, diz que vários recursos do HeadCrab sugerem um alto grau de sofisticação e familiaridade com os ambientes Redis.
Um grande sinal disso é o uso da estrutura do módulo Redis como uma ferramenta para executar ações maliciosas — neste caso, baixar o malware. Também significativo é o uso da API Redis pelo malware para se comunicar com um servidor de comando e controle (C2) controlado por invasores hospedado no que parecia ser um servidor legítimo, mas comprometido, diz Eitani.
“O malware foi desenvolvido especificamente para servidores Redis, pois depende muito do uso da API Redis Modules para se comunicar com seu operador”, observa ele.
O HeadCrab implementa recursos sofisticados de ofuscação para permanecer oculto em sistemas comprometidos, executa mais de 50 ações de maneira completamente sem arquivos e usa um carregador dinâmico para executar binários e evitar a detecção. “O agente da ameaça também está modificando o comportamento normal do serviço Redis para obscurecer sua presença e impedir que outros agentes da ameaça infectem o servidor pela mesma configuração incorreta que ele usou para obter a execução”, observa Eitani. “No geral, o malware é muito complexo e usa vários métodos para obter vantagem sobre os defensores.”
O malware é otimizado para criptomineração e parece personalizado para servidores Redis. Mas tem opções integradas para fazer muito mais, diz Eitani. Como exemplos, ele aponta a capacidade do HeadCrab de roubar chaves SSH para se infiltrar em outros servidores e potencialmente roubar dados e também sua capacidade de carregar um módulo de kernel sem arquivo para comprometer completamente o kernel de um servidor.
Assaf Morag, analista líder de ameaças da Aqua, diz que a empresa não foi capaz de atribuir os ataques a nenhum agente ou grupo de agentes de ameaças conhecido. Mas ele sugere que as organizações que usam servidores Redis devem assumir uma violação total se detectarem o HeadCrab em seus sistemas.
“Fortaleça seus ambientes verificando seus arquivos de configuração do Redis, certifique-se de que o servidor exija autenticação e não permita comandos “slaveof” se não for necessário e não exponha o servidor à Internet se não for necessário”, aconselha Morag.
Morag diz que uma pesquisa Shodan mostrou mais de 42,000 servidores Redis conectados à Internet. Desse total, cerca de 20,000 servidores permitiram algum tipo de acesso e podem ser potencialmente infectados por um ataque de força bruta ou exploração de vulnerabilidade, diz ele.
O HeadCrab é o segundo malware direcionado ao Redis que o Aqua relatou nos últimos meses. Em dezembro, o fornecedor de segurança descobriu Redigo, um backdoor do Redis escrito na linguagem Go. Assim como o HeadCrab, o Aqua descobriu o malware quando os agentes de ameaças se instalaram em um honeypot Redis vulnerável.
“Nos últimos anos, os servidores Redis foram alvo de invasores, geralmente por meio de configuração incorreta e vulnerabilidades”, de acordo com a postagem no blog do Aqua. “À medida que os servidores Redis se tornaram mais populares, a frequência dos ataques aumentou.”
A Redis expressou em um comunicado seu apoio aos pesquisadores de segurança cibernética e disse que gostaria de reconhecer a Aqua por divulgar o relatório à comunidade Redis. “O relatório deles mostra os perigos potenciais de configurar incorretamente o Redis”, disse o comunicado. “Incentivamos todos os usuários do Redis a seguir as orientações de segurança e as melhores práticas publicadas em nossa documentação comercial e de código aberto.”
Não há sinais de que o software Redis Enterprise ou os serviços Redis Cloud tenham sido afetados pelos ataques HeadCrab, acrescentou o comunicado.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware