Malware HeadCrab

Un equipo de investigación de la empresa de seguridad Aqua Nautilus ha encontrado un malware peligroso y astuto llamado HeadCrab que se ha infiltrado en servidores de todo el mundo desde finales de 2021. Esta amenaza de vanguardia utiliza un malware personalizado y difícil de detectar para comprometer los servidores de Redis. , y ha tomado el control de al menos 1200 servidores. El malware HeadCrab es capaz de eludir las soluciones antivirus convencionales y sin agentes.

Qué es Redis: la plataforma objetivo de los ataques HeadCrab

Redis es un almacén de datos en memoria de código abierto que se puede utilizar como base de datos, caché o intermediario de mensajes. Como está diseñado para ejecutarse en una red cerrada y segura, los servidores Redis predeterminados a los que se puede acceder desde Internet son susceptibles de acceso no autorizado y ejecución de comandos. Redis Cluster permite que los datos se dividan y almacenen automáticamente en varios nodos, con servidores maestro y esclavo para una fácil replicación y sincronización de datos. Un servidor puede designarse como Esclavo utilizando el comando SLAVEOF, lo que le permite sincronizarse con el Maestro, incluida la descarga de cualquier módulo presente en el Maestro. Los módulos de Redis son archivos de objetos compartidos ejecutables que amplían la funcionalidad del servidor. Los módulos se cargan y cargan en un servidor a través del puerto Redis usando el comando MODULE LOAD.

Los servidores Redis han sido blanco de atacantes en los últimos años debido a configuraciones incorrectas y vulnerabilidades. A medida que ha crecido la popularidad de los servidores Redis, también lo ha hecho la frecuencia de los ataques, con incidentes como el malware Redigo y TeamTNT dirigidos a los servidores Redis.

El ataque a un servidor honeypot operado por Aqua Nautilus comenzó cuando el atacante apuntó a un servidor Redis. El servidor finalmente se vio comprometido cuando se utilizó el comando SLAVEOF para configurarlo como esclavo de otro servidor Redis controlado por el atacante. El Maestro inició una sincronización del Esclavo, que a su vez descargó el malware HeadCrab como un módulo Redis malicioso en el servidor del señuelo del Esclavo. Los atacantes han utilizado esta táctica para cargar módulos Redis maliciosos en los hosts afectados.

El malware HeadCrab es una amenaza muy avanzada e intrincada. Construido como un marco de módulo de Redis malévolo, tiene una multitud de opciones y habilidades.

Perfil y comportamiento únicos de HeadCrab

La muestra de HeadCrab encontrada por Aqua Nautilus no ha producido ningún resultado en Virus Total utilizando su suma de comprobación MD5. A pesar de los intentos de obtener especímenes adicionales, el equipo no tuvo éxito, lo que refuerza la creencia de que se trata de un malware muy escurridizo y original.

Al comienzo de su ejecución, el malware utiliza la función RedisModule_OnLoad que se activa cuando el servidor Redis carga el módulo. Luego, el malware almacena las direcciones de las funciones esenciales de la API de Redis para uso futuro y verifica si un módulo llamado rds ya está cargado. Si es así, el malware se detendrá inmediatamente sin llevar a cabo ninguna actividad maliciosa.

El módulo se puede cargar con dos argumentos o números mágicos que en realidad son dos números mágicos globales que sirven como claves de cifrado y para confirmar que el usuario es realmente el actor de la amenaza. Posteriormente, el malware puede modificar estos números mágicos en varias partes de su ejecución. El módulo se puede cargar con o sin los números mágicos, y esto afectará algunas de las capacidades del malware durante la ejecución.

El software dañino identifica la ruta al componente de carga dinámica, lo que le permite ejecutar programas. Al proporcionar el ejecutable deseado como parámetro, el componente de carga dinámica puede ejecutar procesos con su propio nombre. Esta técnica puede eludir las medidas de seguridad que identifican archivos dañinos al examinar la ejecución de los procesos. Al ser un binario genuino, el componente de carga dinámica no se reconoce como malicioso y el malware puede ocultarse de estas medidas de seguridad.

En Zaib
February 2, 2023
Malware
Spanish
February 2, 2023
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.