2024年10月3日
Redis数据库管理系统是世界上最常用的数据库管理系统之一,像X(之前名为Twitter)、AirBnB、Amazon这样的大公司都在使用Redis服务器。这种系统的优点很明显:拥有最大的性能,同时对资源需求最小且支持各种数据类型和语言编程。但也有弱点:由于Redis的应用最初并不是在网络外围,因此默认配置仅支持基本的安全功能,并且6.0之前的版本缺乏访问控制和加密机制。此外,每年专业媒体都会出现发现Redis漏洞的报道,如,2023年就记录到12个漏洞,其中3个被确定为“重大”漏洞。服务器被攻破后被安装挖矿软件而受到损害的报导日渐增多,引起我公司反病毒实验室的兴趣,我们的技术专家决定对此类攻击进行一次直接观察。为此,我们决定在停用保护机制的情况下启动我们的Redis服务器,以此为饵坐等不速之客。在这一年的时间里,这台服务器每个月都遭受到10次到14,000次攻击,而最近服务器上出现了我们的分析师等待已久的恶意软件Skidmap。而且,还有令人意想不到的收获:在这起进攻中,网络犯罪分子使用了一种隐藏挖矿活动的新方法,并且同时安装了四个后门。
有关Skidmap木马的第一份报告出现于2019年。这种木马挖矿程序具有一定的定向性,主要是出现在企业网络,因为利用企业资源秘密挖矿可以获得最大的回报。尽管此木马出现已有五年之久,但其运行原理并未发生改变,一直是利用漏洞或不正确的软件设置安装到系统。黑客在我们的诱饵服务器向系统cron调度程序添加了任务,每10分钟启动一个脚本来下载释放器Linux.MulDrop.142(或其变种Linux.MulDrop.143)。这个可执行文件会检查操作系统的内核版本,禁用SELinux安全模块后解压rootkit文件Linux.Rootkit.400、挖矿程序Linux.BtcMine.815和后门文件Linux.BackDoor.Pam.8/9、Linux.BackDoorSSH.425/426以及用于进行远程访问的木马Linux.BackDoor.RCTL.2。该释放器的一个显着特征是文件相当大,包含支持各种Linux版本的可执行文件。我们所观察到的是释放器主体中有大约60个文件,分别支持服务器经常使用的多个Debian和RedHatEnterpriseLinux版本.
安装后,rootkit会拦截系统调用,以便生成虚假信息来响应管理员输入的诊断指令。被拦截的函数包括CPU平均负载报告、多个端口的网络活动报告以及显示文件夹中的文件列表的函数。Rootkit还会检查所有已加载的内核模块,并阻止那些能够侦测其存在的模块运行。所有这些功能使其可以完全隐藏加密货币挖矿活动的包括计算、发送哈希值和接收任务在内的所有进程。
此次攻击还包括由释放器安装后门,目的是保存并向攻击者发送所有有关SSH授权的数据,以及系统所有帐户主密码数据。而且发送时所有密码均使用凯撒密码进行额外加密,偏移量为4个字母。
为进一步扩大对被黑系统的控制能力,攻击者还安装了RAT木马Linux.BackDoor.RCTL.2。利用这个木马可以向被感染的服务器发送命令,并使用由木马自行建立的加密连接从服务器接收所有类型的数据。
执行挖矿功能的是程序xmrig,可挖掘多种加密货币,其中最知名的是门罗币,由于其在交易时完全匿名,在暗网极受欢迎。发现服务器集群中有被rootkit隐藏的挖矿软件是一项相当不简单的事情,在缺乏有关资源消耗的可靠信息情况下,唯一可以猜测到被入侵的只是异乎寻常的电能消耗和热量释出。攻击者还能更改矿工设置,在挖矿性能和维持设备运行速度之间提供最佳平衡,从而进一步降低秘密挖矿被发现的可能性。
Skidmap恶意软件家族的演变体现在攻击模式的复杂化:启动的程序相互调用、禁用保护系统、干扰大量系统工具和服务的运行、下载rootkit等,这些都使对此类事件的应对工作变得异常复杂。
所有此次侦测到的威胁均已添加到Dr.Web病毒库,不会对我公司产品的用户构成威胁。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments