HeadCrab-Malware

Ein Forschungsteam des Sicherheitsunternehmens Aqua Nautilus hat eine gefährliche und gerissene Malware namens HeadCrab gefunden, die seit Ende 2021 weltweit Server infiltriert. Diese hochmoderne Bedrohung nutzt eine maßgeschneiderte, schwer zu erkennende Malware, um Redis-Server zu kompromittieren , und hat die Kontrolle über mindestens 1.200 Server übernommen. Die HeadCrab-Malware ist in der Lage, agentenlose und herkömmliche Antivirenlösungen zu umgehen.

Was ist Redis – die Plattform, auf die HeadCrab-Angriffe abzielen?

Redis ist ein Open-Source-In-Memory-Datenspeicher, der als Datenbank, Cache oder Nachrichtenbroker verwendet werden kann. Da es in einem sicheren, geschlossenen Netzwerk ausgeführt werden soll, sind standardmäßige Redis-Server, auf die über das Internet zugegriffen werden kann, anfällig für unbefugten Zugriff und die Ausführung von Befehlen. Der Redis-Cluster ermöglicht die automatische Aufteilung und Speicherung von Daten auf mehrere Knoten mit einem Master- und Slave-Server für eine einfache Datenreplikation und -synchronisierung. Ein Server kann mit dem SLAVEOF-Befehl als Slave bestimmt werden, wodurch er sich mit dem Master synchronisieren kann, einschließlich des Herunterladens aller auf dem Master vorhandenen Module. Redis-Module sind ausführbare Shared Object-Dateien, die die Funktionalität des Servers erweitern. Module werden mit dem Befehl MODULE LOAD über den Redis-Port hochgeladen und auf einen Server geladen.

Redis-Server wurden in den letzten Jahren aufgrund von Fehlkonfigurationen und Schwachstellen von Angreifern ins Visier genommen. Mit der wachsenden Popularität von Redis-Servern hat auch die Häufigkeit von Angriffen zugenommen, wobei Vorfälle wie die Redigo-Malware und TeamTNT auf Redis-Server abzielen.

Der Angriff auf einen von Aqua Nautilus betriebenen Honeypot-Server begann damit, dass der Angreifer einen Redis-Server ins Visier nahm. Der Server wurde schließlich kompromittiert, als der SLAVEOF-Befehl verwendet wurde, um ihn als Slave eines anderen Redis-Servers einzustellen, der vom Angreifer kontrolliert wurde. Der Master initiierte eine Synchronisation des Slaves, der wiederum die HeadCrab-Malware als schädliches Redis-Modul auf den Slave-Honeypot-Server herunterlud. Diese Taktik wurde von Angreifern verwendet, um schädliche Redis-Module auf betroffene Hosts zu laden.

Die HeadCrab-Malware ist eine hochentwickelte und komplizierte Bedrohung. Als böswilliges Redis-Modul-Framework konstruiert, verfügt es über eine Vielzahl von Optionen und Fähigkeiten.

Das einzigartige Profil und Verhalten von HeadCrab

Die von Aqua Nautilus angetroffene HeadCrab-Probe hat unter Verwendung ihrer MD5-Prüfsumme keine Ergebnisse zu Virus Total erzeugt. Trotz der Versuche, weitere Exemplare zu beschaffen, war das Team erfolglos, was den Glauben bestärkt, dass es sich um eine höchst schwer fassbare und originelle Malware handelt.

Zu Beginn ihrer Ausführung verwendet die Malware die Funktion RedisModule_OnLoad, die aktiviert wird, wenn der Redis-Server das Modul lädt. Die Malware speichert dann die Adressen wichtiger Redis-API-Funktionen für die zukünftige Verwendung und überprüft, ob ein Modul namens rds bereits geladen ist. Wenn dies der Fall ist, wird die Malware sofort gestoppt, ohne böswillige Aktivitäten auszuführen.

Das Modul kann mit zwei Argumenten oder magischen Zahlen geladen werden, die eigentlich zwei globale magische Zahlen sind, die als Verschlüsselungsschlüssel dienen und bestätigen, dass der Benutzer tatsächlich der Bedrohungsakteur ist. Später kann die Malware diese magischen Zahlen in verschiedenen Teilen ihrer Ausführung modifizieren. Das Modul kann mit oder ohne die magischen Zahlen geladen werden, was einige der Fähigkeiten der Malware während der Ausführung beeinträchtigt.

Die schädliche Software identifiziert den Weg zur dynamischen Ladekomponente und ermöglicht ihr, Programme auszuführen. Durch Bereitstellen der gewünschten ausführbaren Datei als Parameter kann die dynamische Ladekomponente Prozesse unter ihrem eigenen Namen ausführen. Diese Technik kann Sicherheitsmaßnahmen umgehen, die schädliche Dateien identifizieren, indem die Ausführung von Prozessen untersucht wird. Da es sich um eine echte Binärdatei handelt, wird die dynamische Ladekomponente nicht als bösartig erkannt, und die Malware kann sich vor diesen Sicherheitsmaßnahmen verbergen.

Bis Zaib
February 2, 2023
Malware
Deutsch
February 2, 2023
Malware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.