En okänd hotaktör har i det tysta brytit Monero-kryptovaluta på Redis-servrar med öppen källkod runt om i världen i flera år, med hjälp av en skräddarsydd variant av skadlig kod som praktiskt taget inte går att upptäcka av agentfria och konventionella antivirusverktyg.
Sedan september 2021 har hotaktören äventyrat minst 1,200 XNUMX Redis-servrar – som tusentals mestadels mindre organisationer använder som en databas eller cache – och tagit fullständig kontroll över dem. Forskare från Aqua Nautilus, som upptäckte kampanjen när en attack träffade en av dess honeypots, spårar skadlig programvara som "HeadCrab."
Sofistikerad, minnesbaserad skadlig programvara
I ett blogginlägg denna vecka beskrev säkerhetsleverantören HeadCrab som minnesresident skadlig programvara som utgör ett pågående hot mot Internet-anslutna Redis-servrar. Många av dessa servrar har inte autentisering aktiverad som standard eftersom de är avsedda att köras på säkra, slutna nätverk.
Aqua's analys av HeadCrab visade att skadlig programvara är utformad för att dra fördel av hur Redis fungerar när man replikerar och synkroniserar data som lagras över flera noder inom ett Redis-kluster. Processen involverar ett kommando som i princip tillåter administratörer att utse en server inom ett Redis-kluster som en "slav" till en annan "master"-server inom klustret. Slavservrar synkroniseras med huvudservern och utför en mängd olika åtgärder, inklusive nedladdning av alla moduler som kan finnas på huvudservern. Redis-moduler är körbara filer som administratörer kan använda för att förbättra funktionaliteten hos en Redis-server.
Aquas forskare fann att HeadCrab utnyttjade denna process för att ladda en cryptocurrency miner på Internet-exponerade Redis system. Med attacken mot sin honeypot använde hotaktören till exempel det legitima SLAVEOF Redis-kommandot för att utse Aqua honeypot som slav till en angriparkontrollerad master Redis-server. Masterservern initierade sedan en synkroniseringsprocess där hotaktören laddade ner en skadlig Redis-modul som innehöll HeadCrab malware.
Asaf Eitani, säkerhetsforskare på Aqua, säger att flera funktioner hos HeadCrab tyder på en hög grad av sofistikering och förtrogenhet med Redis-miljöer.
Ett stort tecken på det är användningen av Redis-modulens ramverk som ett verktyg för att utföra skadliga åtgärder - i det här fallet att ladda ner skadlig programvara. Också betydelsefullt är skadlig programvaras användning av Redis API för att kommunicera med en angriparkontrollerad kommando-och-kontrollserver (C2) värd på vad som verkade vara en legitim men äventyrad server, säger Eitani.
"Skadlig programvara är speciellt byggd för Redis-servrar, eftersom den är starkt beroende av Redis Modules API-användning för att kommunicera med sin operatör", noterar han.
HeadCrab implementerar sofistikerade obfuskeringsfunktioner för att förbli dolda på komprometterade system, exekverar mer än 50 åtgärder på ett helt fillöst sätt och använder en dynamisk loader för att exekvera binärer och undvika upptäckt. "Hotaktören ändrar också det normala beteendet för Redis-tjänsten för att dölja dess närvaro och för att förhindra att andra hotaktörer infekterar servern med samma felkonfiguration som han använde för att få exekvering", noterar Eitani. "Sammantaget är skadlig programvara mycket komplex och använder flera metoder för att uppnå en fördel för försvarare."
Skadlig programvara är optimerad för kryptominering och verkar specialdesignad för Redis-servrar. Men den har inbyggda alternativ för att göra mycket mer, säger Eitani. Som exempel pekar han på HeadCrabs förmåga att stjäla SSH-nycklar för att infiltrera andra servrar och potentiellt stjäla data och även dess förmåga att ladda en fillös kärnmodul för att fullständigt äventyra en servers kärna.
Assaf Morag, hot lead analytiker på Aqua, säger att företaget inte har kunnat tillskriva attackerna till någon känd hotaktör eller grupp av aktörer. Men han föreslår att organisationer som använder Redis-servrar bör anta ett fullständigt intrång om de upptäcker HeadCrab på sina system.
"Hardera dina miljöer genom att skanna dina Redis-konfigurationsfiler, se till att servern kräver autentisering och inte tillåter "slaveof"-kommandon om det inte är nödvändigt, och exponera inte servern för Internet om det inte behövs," råder Morag.
Morag säger att en Shodan-sökning visade mer än 42,000 20,000 Redis-servrar anslutna till Internet. Av detta tillät cirka XNUMX XNUMX servrar någon form av åtkomst och kan potentiellt infekteras av en brute-force attack eller sårbarhetsexploatering, säger han.
HeadCrab är den andra Redis-riktade skadliga programvaran som Aqua har rapporterat under de senaste månaderna. I december upptäckte säkerhetsförsäljaren Redigo, en Redis-bakdörr skrivet på Go-språket. Precis som med HeadCrab upptäckte Aqua skadlig programvara när hotaktörer installerade på en sårbar Redis honungskruka.
"Under de senaste åren har Redis-servrar varit måltavlor av angripare, ofta genom felkonfigurationer och sårbarheter", enligt Aquas blogginlägg. "I takt med att Redis-servrar har blivit mer populära har attackfrekvensen ökat."
Redis uttryckte i ett uttalande sitt stöd för cybersäkerhetsforskare och sa att de ville erkänna Aqua för att ha skickat ut rapporten till Redis-gemenskapen. "Deras rapport visar de potentiella farorna med att felkonfigurera Redis," sa uttalandet. "Vi uppmuntrar alla Redis-användare att följa säkerhetsanvisningarna och bästa praxis som publiceras i vår öppen källkod och kommersiell dokumentation."
Det finns inga tecken på att Redis Enterprise-mjukvara eller Redis Cloud-tjänster har påverkats av HeadCrab-attackerna, tillade uttalandet.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware