|
据 Aqua Security 报道,一种名为 HeadCrab 的复杂恶意软件已在全球范围内诱捕了至少 1,200 台 Redis 服务器。 Redis 服务器专为在安全网络上运行而设计,未启用身份验证,如果暴露在 Internet 上,则很容易受到未经授权的访问。 Redis服务器可以集群设置,这样就可以将数据分割存储在多台服务器上。该结构使用主服务器和从服务器进行数据复制和同步,其中Slaveof命令用于指定从服务器。
在观察到的 HeadCrab 感染中,此命令用于将受害服务器设置为攻击者控制的 Redis 实例的从属服务器。接下来,同步来自主服务器的恶意模块,以部署恶意软件。 该恶意软件为攻击者提供了对受感染服务器的完全控制,并支持一系列允许他们在受害机器上执行各种操作的命令。 该活动的目的是诱使暴露在互联网上的 Redis 服务器进入僵尸网络以进行加密货币挖掘。Aqua 确定了大约 1,200 台受感染的服务器,并根据已确定的 Monero 钱包估计,攻击者每年为每个工人赚取近 4,500 美元的利润。 根据 Aqua 的说法,作为 Redis 模块框架创建的 HeadCrab 恶意软件未被某些安全产品检测到。在执行恶意软件时,会加载一个模块并存储有关操作的信息以供将来检查,确保只有一个 HeadCrab 实例运行。 如果模块加载了两个参数(幻数),则会覆盖八个默认的 Redis 命令以避免检测。该恶意软件还会删除 Redis 日志文件或清空它(如果已重新创建)。 该威胁还定位动态加载程序以其名称执行进程,这是另一种逃避检测的方法。它还检查几个服务管理程序,这些程序稍后用于持久性。 接下来,创建新的 Redis 命令,允许攻击者控制恶意软件。这些旨在确保进一步的持久性、执行命令、用恶意命令替换默认命令、更新幻数、与命令和控制 (C&C) 服务器建立加密通信、重新启用调试以及恢复被覆盖的命令。 “我们的调查显示,HeadCrab 的僵尸网络已经控制了 1,200 多台服务器,所有服务器都感染了这种恶意软件。我们坚信,HeadCrab 将坚持使用尖端技术来渗透服务器,无论是通过利用错误配置还是漏洞,”Aqua Security 总结道。 来源:安全周刊 |
|
|
