Logiciel malveillant HeadCrab

Une équipe de recherche de la société de sécurité Aqua Nautilus a découvert un malware dangereux et rusé appelé HeadCrab qui infiltre les serveurs du monde entier depuis fin 2021. Cette menace de pointe utilise un malware personnalisé et difficile à détecter pour compromettre les serveurs Redis. , et a pris le contrôle d'au moins 1 200 serveurs. Le malware HeadCrab est capable de contourner les solutions antivirus sans agent et conventionnelles.

Qu'est-ce que Redis - la plateforme ciblée par les attaques HeadCrab

Redis est un magasin de données en mémoire open source qui peut être utilisé comme base de données, cache ou courtier de messages. Comme il est censé fonctionner sur un réseau sécurisé et fermé, les serveurs Redis par défaut accessibles depuis Internet sont susceptibles d'accès non autorisés et d'exécution de commandes. Le cluster Redis permet de diviser et de stocker automatiquement les données sur plusieurs nœuds, avec des serveurs maître et esclave pour une réplication et une synchronisation faciles des données. Un serveur peut être désigné comme esclave à l'aide de la commande SLAVEOF, ce qui lui permet de se synchroniser avec le maître, y compris en téléchargeant tous les modules présents sur le maître. Les modules Redis sont des fichiers d'objets partagés exécutables qui étendent les fonctionnalités du serveur. Les modules sont téléchargés et chargés sur un serveur via le port Redis à l'aide de la commande MODULE LOAD.

Les serveurs Redis ont été la cible d'attaquants ces dernières années en raison de mauvaises configurations et de vulnérabilités. À mesure que la popularité des serveurs Redis augmente, la fréquence des attaques augmente également, avec des incidents tels que le logiciel malveillant Redigo et TeamTNT ciblant les serveurs Redis.

L'attaque sur un serveur de pot de miel exploité par Aqua Nautilus a commencé avec l'attaquant ciblant un serveur Redis. Le serveur a finalement été compromis lorsque la commande SLAVEOF a été utilisée pour le définir comme esclave d'un autre serveur Redis contrôlé par l'attaquant. Le maître a lancé une synchronisation de l'esclave, qui à son tour a téléchargé le logiciel malveillant HeadCrab en tant que module Redis malveillant sur le serveur de pot de miel esclave. Cette tactique a été utilisée par des attaquants pour charger des modules Redis malveillants sur les hôtes affectés.

Le malware HeadCrab est une menace très avancée et complexe. Construit comme un framework de module Redis malveillant, il dispose d'une multitude d'options et de capacités.

Profil et comportement uniques de HeadCrab

L'échantillon HeadCrab rencontré par Aqua Nautilus n'a produit aucun résultat sur Virus Total en utilisant sa somme de contrôle MD5. Malgré des tentatives pour obtenir des spécimens supplémentaires, l'équipe n'a pas réussi, ce qui renforce la conviction qu'il s'agit d'un malware très insaisissable et original.

Au début de son exécution, le malware utilise la fonction RedisModule_OnLoad qui s'active lorsque le serveur Redis charge le module. Le logiciel malveillant stocke ensuite les adresses des fonctions essentielles de l'API Redis pour une utilisation future et vérifie si un module nommé rds est déjà chargé. Si c'est le cas, le logiciel malveillant s'arrêtera immédiatement sans effectuer d'activités malveillantes.

Le module peut être chargé avec deux arguments ou nombres magiques qui sont en fait deux nombres magiques globaux qui servent de clés de chiffrement et pour confirmer que l'utilisateur est bien l'auteur de la menace. Plus tard, le malware peut modifier ces nombres magiques dans diverses parties de son exécution. Le module peut être chargé avec ou sans les nombres magiques, ce qui aura un impact sur certaines capacités du logiciel malveillant lors de son exécution.

Le logiciel nuisible identifie la route vers le composant de chargement dynamique, lui permettant d'exécuter des programmes. En fournissant l'exécutable souhaité en tant que paramètre, le composant de chargement dynamique peut exécuter des processus sous son propre nom. Cette technique peut contourner les mesures de sécurité qui identifient les fichiers nuisibles en scrutant l'exécution des processus. Étant un véritable binaire, le composant de chargement dynamique n'est pas reconnu comme malveillant et le logiciel malveillant peut se cacher de ces mesures de sécurité.

Par Zaib
February 2, 2023
Malware
Français
February 2, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.