HeadCrab Malware

Et forskerhold med sikkerhedsfirmaet Aqua Nautilus har fundet en farlig og snedig malware kaldet HeadCrab, der har infiltreret servere over hele verden siden slutningen af 2021. Denne banebrydende trussel gør brug af en specialfremstillet, svært at opdage malware til at kompromittere Redis-servere. , og har taget kontrol over mindst 1.200 servere. HeadCrab-malwaren er i stand til at omgå agentløse og konventionelle antivirusløsninger.

Hvad er Redis - platformen målrettet af HeadCrab-angreb

Redis er et open source-datalager i hukommelsen, der kan bruges som en database, cache eller meddelelsesmægler. Da det er beregnet til at køre på et sikkert, lukket netværk, er standard Redis-servere, der er tilgængelige fra internettet, modtagelige for uautoriseret adgang og kommandoudførelse. Redis Cluster giver mulighed for, at data automatisk kan opdeles og lagres på tværs af flere noder, med en Master- og Slave-servere til nem datareplikering og synkronisering. En server kan udpeges som en slave ved at bruge kommandoen SLAVEOF, hvilket gør det muligt for den at synkronisere med masteren, herunder download af eventuelle moduler, der findes på masteren. Redis-moduler er eksekverbare Shared Object-filer, der udvider serverens funktionalitet. Moduler uploades og indlæses på en server via Redis-porten ved hjælp af MODULE LOAD-kommandoen.

Redis-servere er blevet målrettet af angribere i de seneste år på grund af fejlkonfigurationer og sårbarheder. I takt med at populariteten af Redis-servere er vokset, er hyppigheden af angreb også vokset, med hændelser som Redigo-malwaren og TeamTNT rettet mod Redis-servere.

Angrebet på en honeypot-server drevet af Aqua Nautilus startede med, at angriberen målrettede en Redis-server. Serveren blev til sidst kompromitteret, da SLAVEOF-kommandoen blev brugt til at indstille den som en slave af en anden Redis-server, der kontrolleres af angriberen. Mesteren igangsatte en synkronisering af slaven, som igen downloadede HeadCrab-malwaren som et ondsindet Redis-modul til Slave honeypot-serveren. Denne taktik er blevet brugt af angribere til at indlæse ondsindede Redis-moduler på berørte værter.

HeadCrab-malwaren er en meget avanceret og indviklet trussel. Konstrueret som en ondsindet Redis-modulramme, har den et væld af muligheder og evner.

HeadCrabs unikke profil og adfærd

HeadCrab-prøven, som Aqua Nautilus stødte på, har ikke givet nogen resultater på Virus Total ved hjælp af sin MD5-kontrolsum. På trods af forsøg på at skaffe yderligere prøver, lykkedes det ikke for holdet, hvilket styrker troen på, at dette er en yderst undvigende og original malware.

I begyndelsen af dens udførelse bruger malwaren RedisModule_OnLoad-funktionen, som aktiveres, når Redis-serveren indlæser modulet. Malwaren gemmer derefter adresserne på væsentlige Redis API-funktioner til fremtidig brug og verificerer, om et modul ved navn rds allerede er indlæst. Hvis det er tilfældet, stopper malwaren øjeblikkeligt uden at udføre ondsindede aktiviteter.

Modulet kan indlæses med to argumenter eller magiske tal, som faktisk er to globale magiske tal, der fungerer som krypteringsnøgler og for at bekræfte, at brugeren faktisk er trusselsaktøren. Senere kan malwaren ændre disse magiske tal i forskellige dele af dens udførelse. Modulet kan indlæses med eller uden de magiske tal, og dette vil påvirke nogle af malware'ens muligheder under udførelse.

Den skadelige software identificerer ruten til den dynamiske indlæsningskomponent, så den kan køre programmer. Ved at levere den ønskede eksekverbare som en parameter, kan den dynamiske indlæsningskomponent køre processer under sit eget navn. Denne teknik kan omgå sikkerhedsforanstaltninger, der identificerer skadelige filer, ved at undersøge udførelsen af processer. Da den er en ægte binær, genkendes den dynamiske indlæsningskomponent ikke som ondsindet, og malwaren kan skjule sig fra disse sikkerhedsforanstaltninger.