ایک نامعلوم دھمکی آمیز اداکار برسوں سے دنیا بھر کے اوپن سورس Redis سرورز پر خاموشی سے Monero cryptocurrency کی کھدائی کر رہا ہے، اپنی مرضی کے مطابق میلویئر ویرینٹ کا استعمال کرتے ہوئے جو کہ ایجنٹ کے بغیر اور روایتی اینٹی وائرس ٹولز کے ذریعے عملی طور پر ناقابل شناخت ہے۔
ستمبر 2021 کے بعد سے، دھمکی آمیز اداکار نے کم از کم 1,200 Redis سرورز سے سمجھوتہ کیا ہے — جنہیں ہزاروں زیادہ تر چھوٹی تنظیمیں ڈیٹا بیس یا کیش کے طور پر استعمال کرتی ہیں — اور ان پر مکمل کنٹرول حاصل کر لیا ہے۔ Aqua Nautilus کے محققین، جنہوں نے اس مہم کو اس وقت دیکھا جب حملہ اس کے شہد کے برتنوں میں سے ایک پر ہوا، میلویئر کو "HeadCrab" کے طور پر ٹریک کر رہے ہیں۔
نفیس، میموری کے رہائشی میلویئر
اس ہفتے ایک بلاگ پوسٹ میں، سیکورٹی وینڈر نے ہیڈ کریب کو میموری میں رہنے والے میلویئر کے طور پر بیان کیا جو انٹرنیٹ سے منسلک Redis سرورز کے لیے ایک مسلسل خطرہ پیش کرتا ہے۔ ان میں سے بہت سے سرورز میں بطور ڈیفالٹ توثیق فعال نہیں ہوتی ہے کیونکہ وہ محفوظ، بند نیٹ ورکس پر چلانے کے لیے ہوتے ہیں۔
ایکوا کی HeadCrab کا تجزیہ ظاہر ہوا کہ میلویئر کو اس بات کا فائدہ اٹھانے کے لیے ڈیزائن کیا گیا ہے کہ Redis کلسٹر کے اندر ایک سے زیادہ نوڈس میں ذخیرہ شدہ ڈیٹا کی نقل اور مطابقت پذیری کرتے وقت Redis کیسے کام کرتا ہے۔ اس عمل میں ایک کمانڈ شامل ہے جو بنیادی طور پر ایڈمنسٹریٹرز کو Redis کلسٹر کے اندر ایک سرور کو کلسٹر کے اندر موجود دوسرے "ماسٹر" سرور کو "غلام" کے طور پر نامزد کرنے کی اجازت دیتا ہے۔ غلام سرورز ماسٹر سرور کے ساتھ مطابقت پذیر ہوتے ہیں اور مختلف قسم کے اعمال انجام دیتے ہیں، بشمول ماسٹر سرور پر موجود کسی بھی ماڈیول کو ڈاؤن لوڈ کرنا۔ Redis ماڈیولز قابل عمل فائلیں ہیں جنہیں منتظمین Redis سرور کی فعالیت کو بڑھانے کے لیے استعمال کر سکتے ہیں۔
Aqua کے محققین نے HeadCrab کو لوڈ کرنے کے لیے اس عمل کا استحصال کرتے ہوئے پایا cryptocurrency miner انٹرنیٹ پر بے نقاب ریڈیس سسٹمز. اس کے ہنی پاٹ پر حملے کے ساتھ، دھمکی دینے والے اداکار نے، مثال کے طور پر، ایکوا ہنی پاٹ کو حملہ آور کے زیر کنٹرول ماسٹر Redis سرور کے غلام کے طور پر نامزد کرنے کے لیے جائز SLAVEOF Redis کمانڈ کا استعمال کیا۔ اس کے بعد ماسٹر سرور نے ایک مطابقت پذیری کا عمل شروع کیا جس میں دھمکی آمیز اداکار نے ہیڈ کریب میلویئر پر مشتمل ایک بدنیتی پر مبنی Redis ماڈیول ڈاؤن لوڈ کیا۔
ایکوا کے سیکیورٹی ریسرچر اسف ایتانی کا کہنا ہے کہ ہیڈ کریب کی متعدد خصوصیات Redis کے ماحول سے اعلیٰ درجے کی نفاست اور واقفیت کی تجویز کرتی ہیں۔
اس کی ایک بڑی نشانی Redis ماڈیول فریم ورک کا استعمال بدنیتی پر مبنی کارروائیوں کو انجام دینے کے لیے ایک ٹول کے طور پر ہے — اس صورت میں، میلویئر کو ڈاؤن لوڈ کرنا۔ ایٹانی کا کہنا ہے کہ میلویئر کا Redis API کا حملہ آور کے زیر کنٹرول کمانڈ اینڈ کنٹرول سرور (C2) کے ساتھ بات چیت کے لیے استعمال کرنا بھی اہم ہے جس کی میزبانی ایک جائز لیکن سمجھوتہ کرنے والا سرور ہے۔
"میل ویئر خاص طور پر Redis سرورز کے لیے بنایا گیا ہے، کیونکہ یہ اپنے آپریٹر کے ساتھ بات چیت کرنے کے لیے Redis Modules API کے استعمال پر بہت زیادہ انحصار کرتا ہے،" وہ نوٹ کرتا ہے۔
HeadCrab سمجھوتہ کرنے والے سسٹمز پر پوشیدہ رہنے کے لیے نفیس مبہم خصوصیات کو لاگو کرتا ہے، مکمل طور پر فائل لیس انداز میں 50 سے زیادہ کارروائیوں کو انجام دیتا ہے، اور بائنریز کو انجام دینے اور پتہ لگانے سے بچنے کے لیے ایک متحرک لوڈر کا استعمال کرتا ہے۔ ایٹانی نوٹ کرتا ہے، "خطرہ کرنے والا اداکار Redis سروس کے معمول کے رویے کو بھی تبدیل کر رہا ہے تاکہ اس کی موجودگی کو دھندلا دیا جا سکے اور دوسرے خطرے والے اداکاروں کو بھی اسی غلط کنفیگریشن سے سرور کو متاثر کرنے سے روکا جا سکے جو وہ پھانسی کے لیے استعمال کرتا تھا۔" "مجموعی طور پر، میلویئر بہت پیچیدہ ہے اور محافظوں پر برتری حاصل کرنے کے لیے متعدد طریقے استعمال کرتا ہے۔"
میلویئر کو کرپٹو مائننگ کے لیے بہتر بنایا گیا ہے اور یہ Redis سرورز کے لیے اپنی مرضی کے مطابق ڈیزائن کیا گیا ہے۔ Eitani کا کہنا ہے کہ لیکن اس میں بہت کچھ کرنے کے لیے بلٹ ان آپشنز موجود ہیں۔ مثال کے طور پر، وہ دیگر سرورز میں گھسنے اور ممکنہ طور پر ڈیٹا چوری کرنے کے لیے SSH کیز چوری کرنے کی HeadCrab کی صلاحیت اور سرور کے کرنل سے مکمل طور پر سمجھوتہ کرنے کے لیے فائل لیس کرنل ماڈیول لوڈ کرنے کی صلاحیت کی طرف اشارہ کرتا ہے۔
Aqua میں خطرے کے لیڈ تجزیہ کار Assaf Morag کا کہنا ہے کہ کمپنی ان حملوں کی ذمہ داری کسی معروف دھمکی آمیز اداکار یا اداکاروں کے گروپ سے منسوب نہیں کر سکی ہے۔ لیکن وہ تجویز کرتا ہے کہ Redis سرورز استعمال کرنے والی تنظیموں کو مکمل خلاف ورزی کرنی چاہیے اگر وہ اپنے سسٹمز پر HeadCrab کا پتہ لگاتے ہیں۔
"اپنی Redis کنفیگریشن فائلوں کو اسکین کرکے اپنے ماحول کو سخت کریں، اس بات کو یقینی بنائیں کہ سرور کو توثیق کی ضرورت ہے اور اگر ضروری نہ ہو تو "slaveof" کمانڈز کی اجازت نہ دیں، اور اگر ضروری نہ ہو تو سرور کو انٹرنیٹ پر بے نقاب نہ کریں،" موراگ مشورہ دیتے ہیں۔
موراگ کا کہنا ہے کہ شوڈان کی تلاش میں 42,000،20,000 سے زیادہ ریڈیس سرورز کو انٹرنیٹ سے منسلک دکھایا گیا۔ ان کا کہنا ہے کہ اس میں سے تقریباً XNUMX سرورز نے کسی نہ کسی طرح کی رسائی کی اجازت دی ہے اور وہ ممکنہ طور پر بری طاقت کے حملے یا کمزوری کے استحصال سے متاثر ہو سکتے ہیں۔
HeadCrab دوسرا Redis ٹارگٹڈ میلویئر ہے جسے Aqua نے حالیہ مہینوں میں رپورٹ کیا ہے۔ دسمبر میں، سیکورٹی وینڈر نے دریافت کیا ریڈیگو، ایک ریڈیس بیک ڈور گو زبان میں لکھا گیا۔ جیسا کہ HeadCrab کے ساتھ، Aqua نے میلویئر کو اس وقت دریافت کیا جب خطرے والے اداکاروں نے ایک کمزور Redis honeypot پر انسٹال کیا۔
Aqua کی بلاگ پوسٹ کے مطابق، "حالیہ برسوں میں، Redis سرورز کو حملہ آوروں نے نشانہ بنایا ہے، اکثر غلط کنفیگریشن اور کمزوریوں کے ذریعے"۔ "جیسے جیسے Redis سرورز زیادہ مقبول ہوئے ہیں، حملوں کی تعدد میں اضافہ ہوا ہے۔"
Redis نے ایک بیان میں سائبر سیکیورٹی کے محققین کے لیے اپنی حمایت کا اظہار کیا اور کہا کہ وہ Redis کمیونٹی تک رپورٹ پہنچانے کے لیے Aqua کو تسلیم کرنا چاہتا ہے۔ بیان میں کہا گیا ہے کہ "ان کی رپورٹ Redis کو غلط کنفیگر کرنے کے ممکنہ خطرات کو ظاہر کرتی ہے۔" "ہم Redis کے تمام صارفین کی حوصلہ افزائی کرتے ہیں کہ وہ ہمارے اوپن سورس اور تجارتی دستاویزات میں شائع ہونے والی حفاظتی رہنمائی اور بہترین طریقوں پر عمل کریں۔"
بیان میں مزید کہا گیا کہ ہیڈ کریب کے حملوں سے ریڈیس انٹرپرائز سافٹ ویئر یا ریڈیس کلاؤڈ سروسز متاثر ہونے کے کوئی آثار نہیں ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware