HeadCrab Malware

Et forskerteam med sikkerhetsselskapet Aqua Nautilus har funnet en farlig og utspekulert skadelig programvare kalt HeadCrab som har infiltrert servere over hele verden siden slutten av 2021. Denne banebrytende trusselen bruker skreddersydd, vanskelig å oppdage skadelig programvare for å kompromittere Redis-servere , og har tatt kontroll over minst 1200 servere. HeadCrab malware er i stand til å omgå agentfrie og konvensjonelle antivirusløsninger.

Hva er Redis - plattformen målrettet mot HeadCrab-angrep

Redis er en åpen kildekode i minnet datalager som kan brukes som en database, cache eller meldingsmegler. Siden det er ment å kjøre på et sikkert, lukket nettverk, er standard Redis-servere som er tilgjengelige fra internett utsatt for uautorisert tilgang og kommandoutførelse. Redis Cluster gjør at data automatisk kan deles og lagres på tvers av flere noder, med en Master- og Slave-servere for enkel datareplikering og synkronisering. En server kan utpekes som en slave ved å bruke SLAVEOF-kommandoen, slik at den kan synkroniseres med masteren, inkludert nedlasting av eventuelle moduler som finnes på masteren. Redis-moduler er kjørbare Shared Object-filer som utvider funksjonaliteten til serveren. Moduler lastes opp og lastes inn på en server via Redis-porten ved å bruke MODULE LOAD-kommandoen.

Redis-servere har vært målrettet av angripere de siste årene på grunn av feilkonfigurasjoner og sårbarheter. Etter hvert som populariteten til Redis-servere har vokst, har også frekvensen av angrep økt, med hendelser som Redigo malware og TeamTNT rettet mot Redis-servere.

Angrepet på en honeypot-server drevet av Aqua Nautilus startet med at angriperen siktet mot en Redis-server. Serveren ble til slutt kompromittert da SLAVEOF-kommandoen ble brukt til å sette den som en slave til en annen Redis-server kontrollert av angriperen. Mesteren startet en synkronisering av slaven, som igjen lastet ned HeadCrab-malwaren som en ondsinnet Redis-modul til Slave honeypot-serveren. Denne taktikken har blitt brukt av angripere for å laste ondsinnede Redis-moduler på berørte verter.

HeadCrab malware er en svært avansert og intrikat trussel. Konstruert som et ondsinnet Redis-modulrammeverk, har den en rekke alternativer og evner.

HeadCrabs unike profil og oppførsel

HeadCrab-prøven som ble funnet av Aqua Nautilus har ikke gitt noen resultater på Virus Total ved å bruke MD5-sjekksummen. Til tross for forsøk på å få tak i flere prøver, var teamet mislykket, noe som styrker troen på at dette er en svært unnvikende og original skadelig programvare.

I begynnelsen av kjøringen bruker den skadelige programvaren RedisModule_OnLoad-funksjonen som aktiveres når Redis-serveren laster modulen. Skadevaren lagrer deretter adressene til essensielle Redis API-funksjoner for fremtidig bruk og verifiserer om en modul kalt rds allerede er lastet inn. Hvis det er det, vil skadelig programvare umiddelbart stoppe uten å utføre ondsinnede aktiviteter.

Modulen kan lastes med to argumenter eller magiske tall som faktisk er to globale magiske tall som fungerer som krypteringsnøkler og for å bekrefte at brukeren faktisk er trusselaktøren. Senere kan skadelig programvare endre disse magiske tallene i ulike deler av utførelsen. Modulen kan lastes med eller uten de magiske tallene, og dette vil påvirke noen av skadevarens muligheter under kjøring.

Den skadelige programvaren identifiserer ruten til den dynamiske lastekomponenten, slik at den kan kjøre programmer. Ved å oppgi ønsket kjørbar som en parameter, kan den dynamiske lastekomponenten kjøre prosesser under sitt eget navn. Denne teknikken kan omgå sikkerhetstiltak som identifiserer skadelige filer ved å granske utførelsen av prosesser. Siden den er en ekte binær, blir den dynamiske lastingskomponenten ikke gjenkjent som skadelig, og skadelig programvare kan skjule seg fra disse sikkerhetstiltakene.