HeadCrab Malware
Az Aqua Nautilus biztonsági céggel közös kutatócsoport egy HeadCrab nevű veszélyes és ravasz rosszindulatú programot talált, amely 2021 vége óta világszerte beszivárog a szerverekre. Ez az élvonalbeli fenyegetés egy egyedi készítésű, nehezen észlelhető kártevőt használ a Redis szerverek feltörésére. , és átvette az irányítást legalább 1200 szerver felett. A HeadCrab kártevő képes megkerülni az ügynök nélküli és a hagyományos vírusirtó megoldásokat.
Mi az a Redis - a HeadCrab támadások által megcélzott platform
A Redis egy nyílt forráskódú, memórián belüli adattár, amely adatbázisként, gyorsítótárként vagy üzenetközvetítőként használható. Mivel biztonságos, zárt hálózaton fut, az internetről elérhető alapértelmezett Redis-kiszolgálók ki vannak téve a jogosulatlan hozzáférésnek és parancsvégrehajtásnak. A Redis-fürt lehetővé teszi az adatok automatikus felosztását és tárolását több csomópont között, egy mester- és slave-kiszolgálóval az egyszerű adatreplikáció és szinkronizálás érdekében. A kiszolgáló a SLAVEOF paranccsal szolgaként jelölhető ki, lehetővé téve a mesterrel való szinkronizálást, beleértve a mesteren lévő modulok letöltését. A Redis modulok végrehajtható Shared Object fájlok, amelyek kiterjesztik a kiszolgáló funkcionalitását. A modulok feltöltése és betöltése a Redis porton keresztül történik a kiszolgálóra a MODULE LOAD paranccsal.
A Redis szervereket az elmúlt években hibás konfigurációk és sebezhetőségek miatt támadók célba vették. Ahogy a Redis szerverek népszerűsége nőtt, úgy nőtt a támadások gyakorisága is, a Redigo rosszindulatú programokhoz és a TeamTNT-hez hasonló incidensek a Redis szervereket célozzák.
Az Aqua Nautilus által üzemeltetett honeypot szerver elleni támadás azzal kezdődött, hogy a támadó egy Redis szervert célzott meg. A kiszolgálót végül feltörték, amikor a SLAVEOF paranccsal a támadó által irányított másik Redis-kiszolgáló Slave-jeként állították be. A mester kezdeményezte a Slave szinkronizálását, ami viszont letöltötte a HeadCrab kártevőt, mint egy rosszindulatú Redis modult a Slave honeypot szerverére. Ezt a taktikát használták a támadók, hogy rosszindulatú Redis-modulokat töltsenek be az érintett gazdagépekre.
A HeadCrab rosszindulatú program rendkívül fejlett és bonyolult fenyegetés. Rosszindulatú Redis modul keretrendszerként készült, és számos lehetőséggel és képességgel rendelkezik.
HeadCrab egyedi profilja és viselkedése
Az Aqua Nautilus által talált HeadCrab minta nem hozott eredményt a Virus Total-on az MD5 ellenőrzőösszegével. Annak ellenére, hogy megpróbáltak további példányokat szerezni, a csapat nem járt sikerrel, ami megerősíti azt a meggyőződést, hogy ez egy nagyon megfoghatatlan és eredeti rosszindulatú program.
A kártevő a végrehajtás kezdetén a RedisModule_OnLoad funkciót használja, amely akkor aktiválódik, amikor a Redis szerver betölti a modult. A rosszindulatú program ezután eltárolja a Redis API alapvető funkcióinak címeit későbbi felhasználás céljából, és ellenőrzi, hogy az rds nevű modul már betöltve van-e. Ha igen, a rosszindulatú program azonnal leáll anélkül, hogy rosszindulatú tevékenységet hajtana végre.
A modul két argumentummal vagy mágikus számmal tölthető be, amelyek valójában két globális mágikus szám, amelyek titkosítási kulcsként szolgálnak, és megerősítik, hogy a felhasználó valóban a fenyegetés szereplője. Később a kártevő módosíthatja ezeket a mágikus számokat végrehajtásának különböző részein. A modul betölthető mágikus számokkal vagy anélkül, és ez hatással lesz a kártevő egyes képességeire a végrehajtás során.
A káros szoftver azonosítja az útvonalat a dinamikus betöltési összetevőhöz, lehetővé téve a programok futtatását. A kívánt végrehajtható fájl paraméterként történő megadásával a dinamikus betöltési komponens saját neve alatt futtathat folyamatokat. Ez a technika megkerülheti azokat a biztonsági intézkedéseket, amelyek a folyamatok végrehajtásának ellenőrzésével azonosítják a káros fájlokat. Eredeti binárisként a dinamikus betöltési összetevőt nem ismeri fel rosszindulatúnak, és a kártevő elrejtőzhet e biztonsági intézkedések elől.
