Κακόβουλο λογισμικό HeadCrab

Μια ερευνητική ομάδα με την εταιρεία ασφαλείας Aqua Nautilus ανακάλυψε ένα επικίνδυνο και πονηρό κακόβουλο λογισμικό που ονομάζεται HeadCrab που διεισδύει σε διακομιστές παγκοσμίως από τα τέλη του 2021. Αυτή η απειλή αιχμής χρησιμοποιεί ένα εξατομικευμένο, δύσκολο να εντοπιστεί κακόβουλο λογισμικό για να παραβιάσει διακομιστές Redis , και έχει αναλάβει τον έλεγχο τουλάχιστον 1.200 διακομιστών. Το κακόβουλο λογισμικό HeadCrab είναι σε θέση να παρακάμψει λύσεις προστασίας από ιούς χωρίς παράγοντες και συμβατικές λύσεις.

Τι είναι το Redis - η πλατφόρμα που στοχεύεται από επιθέσεις HeadCrab

Το Redis είναι ένας χώρος αποθήκευσης δεδομένων στη μνήμη ανοιχτού κώδικα που μπορεί να χρησιμοποιηθεί ως βάση δεδομένων, προσωρινή μνήμη ή μεσίτης μηνυμάτων. Καθώς προορίζεται να εκτελείται σε ένα ασφαλές, κλειστό δίκτυο, οι προεπιλεγμένοι διακομιστές Redis που είναι προσβάσιμοι από το Διαδίκτυο είναι επιρρεπείς σε μη εξουσιοδοτημένη πρόσβαση και εκτέλεση εντολών. Το Redis Cluster επιτρέπει την αυτόματη διαίρεση και αποθήκευση δεδομένων σε πολλούς κόμβους, με διακομιστές Master και Slave για εύκολη αναπαραγωγή και συγχρονισμό δεδομένων. Ένας διακομιστής μπορεί να οριστεί ως Slave χρησιμοποιώντας την εντολή SLAVEOF, επιτρέποντάς του να συγχρονίζεται με το Master, συμπεριλαμβανομένης της λήψης τυχόν λειτουργικών μονάδων που υπάρχουν στο Master. Οι λειτουργικές μονάδες Redis είναι εκτελέσιμα αρχεία Shared Object που επεκτείνουν τη λειτουργικότητα του διακομιστή. Οι μονάδες φορτώνονται και φορτώνονται σε διακομιστή μέσω της θύρας Redis χρησιμοποιώντας την εντολή MODULE LOAD.

Οι διακομιστές Redis έχουν γίνει στόχος εισβολέων τα τελευταία χρόνια λόγω λανθασμένων διαμορφώσεων και τρωτών σημείων. Καθώς η δημοτικότητα των διακομιστών Redis έχει αυξηθεί, αυξάνεται και η συχνότητα των επιθέσεων, με περιστατικά όπως το κακόβουλο λογισμικό Redigo και το TeamTNT να στοχεύουν διακομιστές Redis.

Η επίθεση σε έναν διακομιστή honeypot που λειτουργεί από την Aqua Nautilus ξεκίνησε με τον εισβολέα να στοχεύει έναν διακομιστή Redis. Ο διακομιστής τελικά παραβιάστηκε όταν χρησιμοποιήθηκε η εντολή SLAVEOF για τον ορισμό του ως Slave ενός άλλου διακομιστή Redis που ελέγχεται από τον εισβολέα. Ο Master ξεκίνησε έναν συγχρονισμό του Slave, ο οποίος με τη σειρά του κατέβασε το κακόβουλο λογισμικό HeadCrab ως κακόβουλη μονάδα Redis στον διακομιστή Honeypot Slave. Αυτή η τακτική έχει χρησιμοποιηθεί από εισβολείς για τη φόρτωση κακόβουλων λειτουργικών μονάδων Redis σε επηρεαζόμενους κεντρικούς υπολογιστές.

Το κακόβουλο λογισμικό HeadCrab είναι μια εξαιρετικά προηγμένη και περίπλοκη απειλή. Κατασκευασμένο ως κακόβουλο πλαίσιο ενότητας Redis, έχει πολλές επιλογές και ικανότητες.

Το μοναδικό προφίλ και συμπεριφορά του HeadCrab

Το δείγμα HeadCrab που συναντά το Aqua Nautilus δεν έχει παράγει αποτελέσματα στο Virus Total χρησιμοποιώντας το άθροισμα ελέγχου MD5. Παρά τις προσπάθειες απόκτησης πρόσθετων δειγμάτων, η ομάδα απέτυχε, γεγονός που ενισχύει την πεποίθηση ότι πρόκειται για ένα εξαιρετικά άπιαστο και πρωτότυπο κακόβουλο λογισμικό.

Στην αρχή της εκτέλεσής του, το κακόβουλο λογισμικό χρησιμοποιεί τη συνάρτηση RedisModule_OnLoad η οποία ενεργοποιείται όταν ο διακομιστής Redis φορτώνει τη λειτουργική μονάδα. Στη συνέχεια, το κακόβουλο λογισμικό αποθηκεύει τις διευθύνσεις των βασικών λειτουργιών του Redis API για μελλοντική χρήση και επαληθεύει εάν μια λειτουργική μονάδα με το όνομα rds έχει ήδη φορτωθεί. Εάν ναι, το κακόβουλο λογισμικό θα σταματήσει αμέσως χωρίς να πραγματοποιήσει κακόβουλες δραστηριότητες.

Η μονάδα μπορεί να φορτωθεί με δύο ορίσματα ή μαγικούς αριθμούς που στην πραγματικότητα είναι δύο παγκόσμιοι μαγικοί αριθμοί που χρησιμεύουν ως κλειδιά κρυπτογράφησης και για να επιβεβαιωθεί ότι ο χρήστης είναι πράγματι ο παράγοντας απειλής. Αργότερα, το κακόβουλο λογισμικό μπορεί να τροποποιήσει αυτούς τους μαγικούς αριθμούς σε διάφορα σημεία της εκτέλεσής του. Η μονάδα μπορεί να φορτωθεί με ή χωρίς τους μαγικούς αριθμούς και αυτό θα επηρεάσει ορισμένες από τις δυνατότητες του κακόβουλου λογισμικού κατά την εκτέλεση.

Το επιβλαβές λογισμικό προσδιορίζει τη διαδρομή προς το στοιχείο δυναμικής φόρτωσης, επιτρέποντάς του να εκτελεί προγράμματα. Παρέχοντας το επιθυμητό εκτελέσιμο αρχείο ως παράμετρο, το στοιχείο δυναμικής φόρτωσης μπορεί να εκτελεί διαδικασίες με το δικό του όνομα. Αυτή η τεχνική μπορεί να παρακάμψει μέτρα ασφαλείας που εντοπίζουν επιβλαβή αρχεία ελέγχοντας την εκτέλεση των διαδικασιών. Ως γνήσιο δυαδικό, το στοιχείο δυναμικής φόρτωσης δεν αναγνωρίζεται ως κακόβουλο και το κακόβουλο λογισμικό μπορεί να κρυφτεί από αυτά τα μέτρα ασφαλείας.