Вміст планети та рекомендації щодо продуктів ESECURITY є редакційно незалежними. Ми можемо заробляти гроші, коли ви натискаєте на посилання на наших партнерів. Дізнайтеся більше.
Експерти з безпеки розкрили нову кампанію зловмисного програмного забезпечення, Redisraider, яка орієнтована на неправильну конфігурацію серверів Redis, щоб таємно видобувати криптовалюту. Зловмисне програмне забезпечення, написане в GO, поширюється агресивно, використовуючи слабкі конфігурації Redis, в кінцевому рахунку розгортаючи мінер Xmrig Monero на компрометованих системах Linux.
Лабораторії безпеки Datadog виявили кампанію та описали її як сильно ухильну операцію, використовуючи вдосконалені методи осквернення, щоб уникнути виявлення.
Як це працює: сканування, експлуатація та видобуток
Атака починається із створеного на замовлення сканера, який випадково шукає Інтернет для серверів Redis, що працюють на порту 6379 за замовчуванням. Після того, як він знайде його, він перевіряє, чи хост на основі Linux.
Якщо це підтверджено, зловмисне програмне забезпечення зловживає командами Redis – спеціально встановленими, конфігурацією та Bgsave – щоб скинути зловмисне завдання Cron, яка завантажує та виконує зловмисне програмне забезпечення Redisraider.
Зловмисники, що стоять за Redisraider, не просто побудували іншого шахтаря. Вони ускладнили виявлення та аналіз. Корисне навантаження записується в Go і сильно затьмарюється за допомогою інструменту під назвою Garble. Це приховує ключові функції всередині коду, що ускладнює зворотну інженерію.
Крім того, Redisraider використовує методи антипорядку, такі як:
- Короткий ключовий час до життя (TTL) стерти сліди.
- Тимчасові файли записуються в каталоги Cron, щоб поєднати системні процеси.
- Видалення ключів та журналів Після виконання для висвітлення його слідів.
Багатостороння атака: Веб-мінер знайдений
Розслідування Datadog не зупинилося на атаці рівня сервера. Дослідники також встановили, що однакова інфраструктура була використана для веб-мінер-шахтарів. Це означає, що зловмисники отримують дохід від викрадених серверів Linux та нічого не підозрюючих відвідувачів веб -сайту.
“Окрім криптовалют на стороні сервера, інфраструктура Redisraider також влаштувала веб-мінер-шахтар, що дозволяє багатосторонній стратегію отримання доходів”,-написали дослідники у своєму звіті.
Один сервер, пов’язаний з кампанією, розміщений на IP 58.229.206[.]107, було виявлено, що вони працюють з декількома послугами, включаючи MongoDB, MySQL, Redis та кілька HTTP -серверів. Він навіть обслуговував файл JavaScript з підозрілого домену, що ще більше розширює охоплення кампанії.
Як захистити свої системи
Експерти рекомендують наступні кроки для захисту від Redisraider:
- Запустіть Redis у захищеному режимі, який вимикає команди віддаленого конфігурації.
- Встановіть сильну аутентифікацію та обмежте доступ до портів Redis.
- Постійно контролюйте свої системи на незвичну діяльність, як -от несанкціоновані робочі місця CRON або невідомі бінарні бінарні кошти в /TMP.
Datadog рекомендує використовувати засоби безпеки захисту робочого навантаження, які виявляють поведінку в режимі реального часу, такі як ін'єкції роботи Cron та виконання відомих хешів зловмисного програмного забезпечення.
Як завершили дослідники Datadog у своєму звіті, “Redisraider являє собою новий орієнтир в еволюції криптовалютних кампаній, орієнтованих на Linux, поєднуючи агресивне поширення, подібне до черв'яків, глибокі знання системи та шаруваті методи ухилення від оборони”.
Організаціям рекомендується перевірити свої сервери Redis, переглядати їх мережеву експозицію та виправити будь -які неправильні конфігурації.