Un actor necunoscut de amenințări a minat în liniște criptomoneda Monero pe serverele open source Redis din întreaga lume de ani de zile, folosind o variantă de malware personalizată care este practic nedetectabilă de instrumentele antivirus convenționale și fără agent.
Din septembrie 2021, actorul amenințării a compromis cel puțin 1,200 de servere Redis – pe care mii de organizații mai mici le folosesc ca bază de date sau cache – și a preluat controlul complet asupra acestora. Cercetătorii de la Aqua Nautilus, care au observat campania când un atac a lovit unul dintre honeypots, urmăresc malware-ul ca „HeadCrab”.
Malware sofisticat, rezident în memorie
Într-o postare pe blog din această săptămână, furnizorul de securitate a descris HeadCrab drept malware rezident în memorie care reprezintă o amenințare continuă pentru serverele Redis conectate la internet. Multe dintre aceste servere nu au autentificarea activată în mod implicit, deoarece sunt menite să ruleze în rețele securizate și închise.
Aqua lui analiza HeadCrab a arătat că malware-ul este conceput pentru a profita de modul în care funcționează Redis atunci când replic și sincronizează datele stocate pe mai multe noduri dintr-un cluster Redis. Procesul implică o comandă care, practic, permite administratorilor să desemneze un server dintr-un cluster Redis ca „sclav” al unui alt server „master” din cluster. Serverele slave se sincronizează cu serverul master și efectuează o varietate de acțiuni, inclusiv descărcarea oricăror module care ar putea fi prezente pe serverul master. Modulele Redis sunt fișiere executabile pe care administratorii le pot folosi pentru a îmbunătăți funcționalitatea unui server Redis.
Cercetătorii lui Aqua au descoperit că HeadCrab exploatează acest proces pentru a încărca a criptocurrency miner pe Internet-expus Sisteme Redis. Odată cu atacul asupra honeypot-ului său, actorul amenințării, de exemplu, a folosit comanda legitimă SLAVEOF Redis pentru a desemna Aqua honeypot ca sclav al unui server Redis controlat de atacator. Serverul principal a inițiat apoi un proces de sincronizare în care actorul amenințării a descărcat un modul rău intenționat Redis care conține malware HeadCrab.
Asaf Eitani, cercetător de securitate la Aqua, spune că mai multe caracteristici ale HeadCrab sugerează un grad ridicat de sofisticare și familiaritate cu mediile Redis.
Un mare semn al acestui lucru este utilizarea cadrului modulului Redis ca instrument pentru a efectua acțiuni rău intenționate - în acest caz, descărcarea malware-ului. De asemenea, semnificativă este utilizarea de către malware a API-ului Redis pentru a comunica cu un server de comandă și control (C2) controlat de atacator, găzduit pe ceea ce părea a fi un server legitim, dar compromis, spune Eitani.
„Malware-ul este creat special pentru serverele Redis, deoarece se bazează în mare măsură pe utilizarea API-ului Redis Modules pentru a comunica cu operatorul său”, notează el.
HeadCrab implementează caracteristici sofisticate de ofuscare pentru a rămâne ascunse pe sistemele compromise, execută peste 50 de acțiuni într-un mod complet fără fișiere și folosește un încărcător dinamic pentru a executa fișiere binare și a evita detectarea. „Actorul amenințării modifică, de asemenea, comportamentul normal al serviciului Redis pentru a-i ascunde prezența și pentru a preveni alți actori de amenințare să infecteze serverul prin aceeași configurație greșită pe care a folosit-o pentru a obține execuția”, notează Eitani. „În general, malware-ul este foarte complex și folosește mai multe metode pentru a obține un avantaj asupra apărătorilor.”
Malware-ul este optimizat pentru criptomining și pare proiectat personalizat pentru serverele Redis. Dar are opțiuni încorporate pentru a face mult mai mult, spune Eitani. Ca exemple, el indică capacitatea HeadCrab de a fura chei SSH pentru a se infiltra în alte servere și, eventual, a fura date, precum și capacitatea sa de a încărca un modul de nucleu fără fișiere pentru a compromite complet nucleul unui server.
Assaf Morag, analist principal al amenințărilor la Aqua, spune că compania nu a reușit să atribuie atacurile vreunui actor cunoscut de amenințări sau grup de actori. Dar el sugerează că organizațiile care folosesc servere Redis ar trebui să își asume o încălcare completă dacă detectează HeadCrab pe sistemele lor.
„Întărește-ți mediile prin scanarea fișierelor de configurare Redis, asigură-te că serverul necesită autentificare și nu permite comenzi „slaveof” dacă nu este necesar și nu expune serverul la Internet dacă nu este necesar”, sfătuiește Morag.
Morag spune că o căutare Shodan a arătat peste 42,000 de servere Redis conectate la Internet. Dintre acestea, aproximativ 20,000 de servere au permis un fel de acces și pot fi potențial infectate de un atac de forță brută sau de exploatare a vulnerabilităților, spune el.
HeadCrab este al doilea malware vizat de Redis pe care Aqua l-a raportat în ultimele luni. În decembrie, furnizorul de securitate a descoperit Redigo, o ușă din spate Redis scris în limba Go. Ca și în cazul HeadCrab, Aqua a descoperit malware-ul atunci când actorii de amenințări s-au instalat pe un honeypot Redis vulnerabil.
„În ultimii ani, serverele Redis au fost vizate de atacatori, adesea prin configurații greșite și vulnerabilități”, potrivit postării pe blog a lui Aqua. „Pe măsură ce serverele Redis au devenit mai populare, frecvența atacurilor a crescut.”
Redis și-a exprimat într-o declarație sprijinul pentru cercetătorii în domeniul securității cibernetice și a spus că dorește să-l recunoască pe Aqua pentru că a transmis raportul comunității Redis. „Raportul lor arată potențialele pericole ale configurării greșite a Redis”, se spune în declarație. „Încurajăm toți utilizatorii Redis să urmeze îndrumările de securitate și cele mai bune practici publicate în documentația noastră open source și comercială.”
Nu există semne că software-ul Redis Enterprise sau serviciile Redis Cloud au fost afectate de atacurile HeadCrab, se adaugă declarația.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware