自 2021 年 9 月以来,旨在在线追捕易受攻击的 Redis 服务器的新型隐蔽恶意软件已感染了 1000 多个服务器,以构建一个挖掘门罗币加密货币的僵尸网络。
Aqua Security 研究人员 Nitzan Yaakov 和 Asaf Eitani 发现了该恶意软件,并将其命名为 HeadCrab,到目前为止,该恶意软件已经诱捕了至少 1,200 台此类服务器,这些服务器还用于在线扫描更多目标。
“这个高级威胁参与者利用最先进的、定制的恶意软件,这种恶意软件无法被无代理和传统的防病毒解决方案检测到,以破坏大量的 Redis 服务器,”研究人员说。
“我们不仅发现了 HeadCrab 恶意软件,还发现了一种在 Redis 服务器中检测其感染的独特方法。当我们的方法应用于暴露在外的服务器时,我们发现了大约 1,200 台活跃的受感染服务器。”
威胁行为者这个僵尸网络的幕后黑手利用了 Redis 服务器在默认情况下没有启用身份验证这一事实,因为它们被设计为在组织的网络中使用,不应暴露给互联网访问。
如果管理员不保护它们并无意(或有意)将它们配置为可从本地网络外部访问,攻击者可以使用恶意工具或恶意软件轻易地破坏和劫持它们。
一旦他们获得对不需要身份验证的服务器的访问权限,恶意行为者就会发出“SLAVEOF”命令来同步他们控制下的主服务器,从而将 HeadCrab 恶意软件部署到新被劫持的系统上。
安装并启动后,HeadCrab 为攻击者提供了完全控制目标服务器并将其添加到他们的加密挖矿僵尸网络所需的所有功能。
它还会在受感染设备的内存中运行以绕过反恶意软件扫描,并且 Aqua Security 分析的样本显示没有在 VirusTotal 上进行检测。
它还会删除所有日志,并且只与其主人控制的其他服务器通信以逃避检测。
“攻击者与合法 IP 地址(主要是其他受感染的服务器)通信,以逃避检测并降低被安全解决方案列入黑名单的可能性,”研究人员补充说。
“该恶意软件主要基于不太可能被标记为恶意的 Redis 进程。有效载荷通过 memfd 加载,内存文件和内核模块直接从内存加载,避免了磁盘写入。”
在分析恶意软件时,他们还发现攻击者主要使用托管在先前 compr 上的矿池省略服务器以使归因和检测复杂化。
此外,与该僵尸网络相关联的 Monero 钱包显示,攻击者每年从每个工人中赚取的利润估计约为 4,500 美元,远高于类似操作通常每名工人 200 美元的利润。
为了保护他们的 Redis 服务器,建议管理员确保只有他们网络中的客户端才能访问它们,禁用未使用的“slaveof”功能,并启用保护模式,该模式将实例配置为仅响应环回地址并拒绝来自其他 IP 地址的连接。
美国东部时间 2 月 3 日 10:27 更新:Redis 发言人在文章发表后发表了以下声明:
Redis 非常支持网络安全研究社区,我们感谢 AquaSec 发布这份报告以使 Redis 社区受益。他们的报告显示了错误配置 Redis 的潜在危险。我们鼓励让所有 Redis 用户遵循我们的开源和商业文档中发布的安全指南和最佳实践。作为 Redis 大学的一部分,我们还提供免费的安全课程,涵盖我们的开源和商业产品。
我们应该注意到,没有迹象表明 Redis Enterprise 软件或 Redis Cloud 服务受到了这些攻击的影响。
如若转载,请注明出处:https://www.ozabc.com/it/534781.html