Неизвестный злоумышленник годами незаметно добывает криптовалюту Monero на серверах Redis с открытым исходным кодом по всему миру, используя специально созданный вариант вредоносного ПО, который практически не обнаруживается безагентными и обычными антивирусными инструментами.
С сентября 2021 года злоумышленник скомпрометировал не менее 1,200 серверов Redis, которые тысячи небольших организаций используют в качестве базы данных или кэша, и получил над ними полный контроль. Исследователи из Aqua Nautilus, которые заметили кампанию, когда атака поразила одну из ее приманок, отслеживают вредоносное ПО как «HeadCrab».
Сложные резидентные вредоносные программы
В сообщении в блоге на этой неделе поставщик систем безопасности описал HeadCrab как резидентное вредоносное ПО, представляющее постоянную угрозу для серверов Redis, подключенных к Интернету. На многих из этих серверов аутентификация не включена по умолчанию, поскольку они предназначены для работы в безопасных закрытых сетях.
Аква анализ HeadCrab показали, что вредоносная программа предназначена для использования преимуществ работы Redis при репликации и синхронизации данных, хранящихся на нескольких узлах в кластере Redis. Этот процесс включает в себя команду, которая в основном позволяет администраторам назначать сервер в кластере Redis в качестве «подчиненного» для другого «главного» сервера в кластере. Подчиненные серверы синхронизируются с главным сервером и выполняют различные действия, включая загрузку любых модулей, которые могут присутствовать на главном сервере. Модули Redis — это исполняемые файлы, которые администраторы могут использовать для расширения функциональности сервера Redis.
Исследователи Aqua обнаружили, что HeadCrab использует этот процесс для загрузки криптовалютный шахтер в Интернете Системы Redis. При атаке на приманку злоумышленник, например, использовал легитимную команду SLAVEOF Redis, чтобы обозначить приманку Aqua в качестве ведомого главного сервера Redis, контролируемого злоумышленником. Затем главный сервер инициировал процесс синхронизации, в ходе которого злоумышленник загрузил вредоносный модуль Redis, содержащий вредоносное ПО HeadCrab.
Асаф Эйтани, исследователь безопасности в Aqua, говорит, что некоторые функции HeadCrab предполагают высокую степень сложности и знакомство со средами Redis.
Одним из важных признаков этого является использование каркаса модулей Redis в качестве инструмента для выполнения вредоносных действий — в данном случае для загрузки вредоносного ПО. По словам Эйтани, также важным является использование вредоносной программой Redis API для связи с контролируемым злоумышленником сервером управления и контроля (C2), размещенным на том, что казалось легитимным, но скомпрометированным сервером.
«Вредоносное ПО создано специально для серверов Redis, поскольку оно в значительной степени зависит от использования API модулей Redis для связи со своим оператором», — отмечает он.
HeadCrab реализует сложные функции обфускации, чтобы оставаться скрытым в скомпрометированных системах, выполняет более 50 действий полностью без файлов и использует динамический загрузчик для выполнения двоичных файлов и уклонения от обнаружения. «Злоумышленник также изменяет обычное поведение службы Redis, чтобы скрыть свое присутствие и предотвратить заражение сервера другими субъектами угроз с помощью той же неправильной конфигурации, которую он использовал для выполнения», — отмечает Эйтани. «В целом вредоносное ПО очень сложное и использует несколько методов для достижения преимущества перед защитниками».
Вредоносное ПО оптимизировано для криптомайнинга и выглядит специально разработанным для серверов Redis. Но у него есть встроенные опции, позволяющие делать гораздо больше, говорит Эйтани. В качестве примера он указывает на способность HeadCrab красть SSH-ключи для проникновения на другие серверы и, возможно, кражи данных, а также на его способность загружать безфайловый модуль ядра, чтобы полностью скомпрометировать ядро сервера.
Ассаф Мораг, ведущий аналитик по угрозам в Aqua, говорит, что компания не смогла приписать атаки какому-либо известному злоумышленнику или группе субъектов. Но он предлагает организациям, использующим серверы Redis, предположить полную уязвимость, если они обнаружат HeadCrab в своих системах.
«Защитите свою среду, просканировав файлы конфигурации Redis, убедитесь, что сервер требует аутентификации и не разрешает команды «slaveof», если в этом нет необходимости, и не открывайте сервер в Интернете, если в этом нет необходимости», — советует Мораг.
Мораг говорит, что поиск Shodan показал более 42,000 20,000 серверов Redis, подключенных к Интернету. По его словам, из них около XNUMX XNUMX серверов разрешили какой-либо доступ и потенциально могут быть заражены атакой методом грубой силы или использованием уязвимости.
HeadCrab — это второе вредоносное ПО, нацеленное на Redis, о котором Aqua сообщила за последние месяцы. В декабре поставщик систем безопасности обнаружил Redigo, бэкдор Redis написано на языке Go. Как и в случае с HeadCrab, Aqua обнаружил вредоносное ПО, когда злоумышленники установили его на уязвимую приманку Redis.
«В последние годы серверы Redis стали мишенью для злоумышленников, часто из-за неправильной конфигурации и уязвимостей», — говорится в сообщении в блоге Aqua. «По мере того, как серверы Redis становятся все более популярными, увеличивается частота атак».
Redis выразила в своем заявлении поддержку исследователям кибербезопасности и заявила, что хочет поблагодарить Aqua за предоставление отчета сообществу Redis. «Их отчет показывает потенциальную опасность неправильной настройки Redis», — говорится в заявлении. «Мы призываем всех пользователей Redis следовать рекомендациям по безопасности и рекомендациям, опубликованным в нашей документации с открытым исходным кодом и коммерческой документации».
В заявлении говорится, что нет никаких признаков того, что программное обеспечение Redis Enterprise или сервисы Redis Cloud пострадали от атак HeadCrab.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware