Невідомий загрозливий суб’єкт протягом багатьох років тихо майнив криптовалюту Monero на серверах Redis з відкритим кодом по всьому світу, використовуючи спеціальний варіант зловмисного програмного забезпечення, який практично неможливо виявити безагентними та звичайними антивірусними інструментами.
З вересня 2021 року зловмисник скомпрометував щонайменше 1,200 серверів Redis, які тисячі переважно менших організацій використовують як базу даних або кеш-пам’ять, і взяв над ними повний контроль. Дослідники з Aqua Nautilus, які помітили кампанію, коли атака вразила один із її медівників, відстежують зловмисне програмне забезпечення як «HeadCrab».
Складне, резидентне шкідливе програмне забезпечення
У дописі в блозі цього тижня постачальник засобів безпеки описав HeadCrab як резидентну шкідливу програму, яка становить постійну загрозу підключеним до Інтернету серверам Redis. Багато з цих серверів не мають автентифікації за замовчуванням, оскільки вони призначені для роботи в безпечних закритих мережах.
Аква аналіз HeadCrab показали, що зловмисне програмне забезпечення розроблено для використання переваг роботи Redis під час реплікації та синхронізації даних, що зберігаються на кількох вузлах у кластері Redis. Процес включає в себе команду, яка в основному дозволяє адміністраторам призначати сервер у кластері Redis як «підлеглий» для іншого «головного» сервера в кластері. Підлеглі сервери синхронізуються з головним сервером і виконують різноманітні дії, включаючи завантаження будь-яких модулів, які можуть бути присутніми на головному сервері. Модулі Redis — це виконувані файли, які адміністратори можуть використовувати для покращення функціональності сервера Redis.
Дослідники Aqua виявили, що HeadCrab використовує цей процес для завантаження a криптовалюта шахтаря в Інтернеті Системи Redis. Під час атаки на його honeypot загрозливий актор, наприклад, використав законну команду SLAVEOF Redis, щоб призначити Aqua honeypot підлеглим керованим зловмисником головним сервером Redis. Потім головний сервер ініціював процес синхронізації, під час якого зловмисник завантажив шкідливий модуль Redis, що містить зловмисне програмне забезпечення HeadCrab.
Асаф Ейтані, дослідник безпеки в Aqua, каже, що кілька функцій HeadCrab свідчать про високий ступінь складності та знайомства з середовищами Redis.
Одним із серйозних ознак цього є використання каркаса модуля Redis як інструменту для виконання зловмисних дій — у цьому випадку завантаження зловмисного програмного забезпечення. Також важливим є те, що зловмисне програмне забезпечення використовує API Redis для зв’язку з керованим зловмисником сервером керування (C2), розміщеним на, здається, законному, але скомпрометованому сервері, каже Ейтані.
«Зловмисне програмне забезпечення розроблено спеціально для серверів Redis, оскільки воно значною мірою покладається на використання Redis Modules API для зв’язку зі своїм оператором», — зазначає він.
HeadCrab реалізує складні функції обфускації, щоб залишатися прихованими в скомпрометованих системах, виконує більше 50 дій повністю без файлів і використовує динамічний завантажувач для виконання двійкових файлів і ухилення від виявлення. «Актор загрози також змінює звичайну поведінку служби Redis, щоб приховати свою присутність і запобігти зараженню серверу іншими суб’єктами загрози за допомогою тієї ж неправильної конфігурації, яку він використав для виконання», — зазначає Ейтані. «Загалом зловмисне програмне забезпечення є дуже складним і використовує кілька методів для досягнення переваги над захисниками».
Зловмисне програмне забезпечення оптимізоване для криптомайнінгу та виглядає спеціально розробленим для серверів Redis. Але він має вбудовані опції, щоб зробити набагато більше, каже Ейтані. Як приклади він вказує на здатність HeadCrab викрадати ключі SSH, щоб проникати на інші сервери та потенційно викрадати дані, а також його здатність завантажувати безфайловий модуль ядра, щоб повністю скомпрометувати ядро сервера.
Ассаф Мораг, провідний аналітик загроз в Aqua, каже, що компанія не змогла приписати атаки будь-якій відомій загрозливій особі або групі дійових осіб. Але він припускає, що організації, які використовують сервери Redis, повинні припустити повне порушення, якщо виявлять HeadCrab у своїх системах.
«Зміцніть своє середовище, просканувавши конфігураційні файли Redis, переконайтеся, що сервер вимагає автентифікації та не дозволяє команди «slaveof», якщо вони не потрібні, і не підключайте сервер до Інтернету, якщо це не потрібно», — радить Мораг.
Мораг каже, що пошук Shodan показав понад 42,000 20,000 серверів Redis, підключених до Інтернету. З них приблизно XNUMX XNUMX серверів мають певний доступ і потенційно можуть бути заражені атакою грубої сили або використанням вразливості, каже він.
HeadCrab — друга шкідлива програма, націлена на Redis, про яку Aqua повідомила за останні місяці. У грудні постачальник безпеки виявив Redigo, бекдор Redis написаний мовою Go. Як і у випадку з HeadCrab, Aqua виявила зловмисне програмне забезпечення, коли зловмисники встановили на вразливу приманку Redis.
«Останніми роками сервери Redis стали мішенню зловмисників, часто через неправильну конфігурацію та вразливі місця», — йдеться в дописі в блозі Aqua. «Зі збільшенням популярності серверів Redis зросла частота атак».
У своїй заяві Redis висловив підтримку дослідникам кібербезпеки та сказав, що хоче відзначити Aqua за надання звіту спільноті Redis. «Їхній звіт показує потенційну небезпеку неправильного налаштування Redis», — йдеться в заяві. «Ми заохочуємо всіх користувачів Redis дотримуватися вказівок із безпеки та найкращих практик, опублікованих у нашій комерційній документації з відкритим кодом».
Немає жодних ознак того, що програмне забезпечення Redis Enterprise або Redis Cloud зазнали впливу атак HeadCrab, додається в заяві.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware