Malware HeadCrab
Un team di ricerca con la società di sicurezza Aqua Nautilus ha trovato un malware pericoloso e astuto chiamato HeadCrab che si è infiltrato nei server di tutto il mondo dalla fine del 2021. Questa minaccia all'avanguardia utilizza un malware su misura e difficile da rilevare per compromettere i server Redis e ha preso il controllo di almeno 1.200 server. Il malware HeadCrab è in grado di aggirare le soluzioni antivirus convenzionali e senza agenti.
Che cos'è Redis, la piattaforma presa di mira dagli attacchi HeadCrab
Redis è un archivio dati in memoria open source che può essere utilizzato come database, cache o broker di messaggi. Poiché è pensato per essere eseguito su una rete sicura e chiusa, i server Redis predefiniti accessibili da Internet sono suscettibili di accesso non autorizzato e esecuzione di comandi. Il cluster Redis consente di dividere e archiviare automaticamente i dati su più nodi, con server master e slave per una facile replica e sincronizzazione dei dati. Un server può essere designato come Slave utilizzando il comando SLAVEOF, consentendogli di sincronizzarsi con il Master, incluso il download di eventuali moduli presenti sul Master. I moduli Redis sono file di oggetti condivisi eseguibili che estendono la funzionalità del server. I moduli vengono caricati e caricati su un server tramite la porta Redis utilizzando il comando MODULE LOAD.
I server Redis sono stati presi di mira dagli aggressori negli ultimi anni a causa di configurazioni errate e vulnerabilità. Con l'aumentare della popolarità dei server Redis, è aumentata anche la frequenza degli attacchi, con incidenti come il malware Redigo e TeamTNT che prendono di mira i server Redis.
L'attacco a un server honeypot gestito da Aqua Nautilus è iniziato con l'aggressore che ha preso di mira un server Redis. Il server è stato infine compromesso quando è stato utilizzato il comando SLAVEOF per impostarlo come slave di un altro server Redis controllato dall'aggressore. Il Master ha avviato una sincronizzazione dello Slave, che a sua volta ha scaricato il malware HeadCrab come modulo Redis dannoso sul server honeypot dello Slave. Questa tattica è stata utilizzata dagli aggressori per caricare moduli Redis dannosi sugli host interessati.
Il malware HeadCrab è una minaccia altamente avanzata e intricata. Costruito come un malevolo framework di moduli Redis, ha una moltitudine di opzioni e abilità.
Il profilo e il comportamento unici di HeadCrab
Il campione HeadCrab rilevato da Aqua Nautilus non ha prodotto alcun risultato su Virus Total utilizzando il suo checksum MD5. Nonostante i tentativi di ottenere ulteriori esemplari, il team non ha avuto successo, il che rafforza la convinzione che si tratti di un malware originale e altamente sfuggente.
All'inizio della sua esecuzione, il malware utilizza la funzione RedisModule_OnLoad che si attiva quando il server Redis carica il modulo. Il malware memorizza quindi gli indirizzi delle funzioni API Redis essenziali per un utilizzo futuro e verifica se un modulo denominato rds è già caricato. Se lo è, il malware si fermerà immediatamente senza svolgere alcuna attività dannosa.
Il modulo può essere caricato con due argomenti o numeri magici che in realtà sono due numeri magici globali che fungono da chiavi di crittografia e per confermare che l'utente è effettivamente l'autore della minaccia. Successivamente, il malware può modificare questi numeri magici in varie parti della sua esecuzione. Il modulo può essere caricato con o senza i numeri magici e questo avrà un impatto su alcune delle capacità del malware durante l'esecuzione.
Il software dannoso identifica il percorso verso il componente di caricamento dinamico, consentendogli di eseguire programmi. Fornendo l'eseguibile desiderato come parametro, il componente di caricamento dinamico può eseguire processi con il proprio nome. Questa tecnica può eludere le misure di sicurezza che identificano i file dannosi controllando l'esecuzione dei processi. Essendo un vero binario, il componente di caricamento dinamico non viene riconosciuto come dannoso e il malware può nascondersi da queste misure di sicurezza.
