HeadCrab-malware

Een onderzoeksteam van beveiligingsbedrijf Aqua Nautilus heeft een gevaarlijke en sluwe malware gevonden, HeadCrab genaamd, die sinds eind 2021 wereldwijd servers infiltreert. Deze geavanceerde dreiging maakt gebruik van op maat gemaakte, moeilijk te detecteren malware om Redis-servers in gevaar te brengen , en heeft de controle over ten minste 1.200 servers overgenomen. De HeadCrab-malware kan agentloze en conventionele antivirusoplossingen omzeilen.

Wat is Redis - het platform waarop HeadCrab-aanvallen het doelwit zijn

Redis is een open-source in-memory gegevensopslag die kan worden gebruikt als database, cache of berichtenmakelaar. Omdat het bedoeld is om op een veilig, gesloten netwerk te draaien, zijn standaard Redis-servers die toegankelijk zijn via internet vatbaar voor ongeoorloofde toegang en uitvoering van opdrachten. Met de Redis-cluster kunnen gegevens automatisch worden verdeeld en opgeslagen over meerdere knooppunten, met master- en slave-servers voor eenvoudige gegevensreplicatie en synchronisatie. Een server kan worden aangewezen als Slave met behulp van het SLAVEOF-commando, waardoor deze kan synchroniseren met de Master, inclusief het downloaden van eventuele modules die aanwezig zijn op de Master. Redis-modules zijn uitvoerbare Shared Object-bestanden die de functionaliteit van de server uitbreiden. Modules worden geüpload en geladen op een server via de Redis-poort met behulp van de opdracht MODULE LOAD.

Redis-servers zijn de afgelopen jaren het doelwit geweest van aanvallers vanwege verkeerde configuraties en kwetsbaarheden. Naarmate de populariteit van Redis-servers is gegroeid, neemt ook de frequentie van aanvallen toe, met incidenten zoals de Redigo-malware en TeamTNT gericht op Redis-servers.

De aanval op een honeypot-server van Aqua Nautilus begon toen de aanvaller zich op een Redis-server richtte. De server werd uiteindelijk gecompromitteerd toen de SLAVEOF-opdracht werd gebruikt om deze in te stellen als een slaaf van een andere Redis-server die door de aanvaller wordt beheerd. De Master startte een synchronisatie van de Slave, die op zijn beurt de HeadCrab-malware downloadde als een kwaadaardige Redis-module op de Slave-honeypot-server. Deze tactiek is door aanvallers gebruikt om kwaadaardige Redis-modules op getroffen hosts te laden.

De HeadCrab-malware is een zeer geavanceerde en ingewikkelde bedreiging. Het is gebouwd als een kwaadaardig Redis-moduleraamwerk en heeft een veelheid aan opties en mogelijkheden.

HeadCrab's unieke profiel en gedrag

Het HeadCrab-monster dat Aqua Nautilus tegenkwam, heeft geen resultaten opgeleverd op Virus Total met behulp van de MD5-controlesom. Ondanks pogingen om extra exemplaren te bemachtigen, slaagde het team er niet in, wat de overtuiging versterkt dat dit zeer ongrijpbare en originele malware is.

Aan het begin van de uitvoering gebruikt de malware de RedisModule_OnLoad-functie die wordt geactiveerd wanneer de Redis-server de module laadt. De malware slaat vervolgens de adressen van essentiële Redis API-functies op voor toekomstig gebruik en controleert of er al een module met de naam rds is geladen. Als dit het geval is, stopt de malware onmiddellijk zonder schadelijke activiteiten uit te voeren.

De module kan worden geladen met twee argumenten of magische getallen die eigenlijk twee globale magische getallen zijn die dienen als coderingssleutels en om te bevestigen dat de gebruiker inderdaad de bedreigingsactor is. Later kan de malware deze magische getallen in verschillende delen van de uitvoering wijzigen. De module kan met of zonder de magische getallen worden geladen, en dit heeft invloed op sommige mogelijkheden van de malware tijdens de uitvoering.

De schadelijke software identificeert de route naar de dynamische laadcomponent, waardoor deze programma's kan uitvoeren. Door het gewenste uitvoerbare bestand als parameter op te geven, kan de dynamische laadcomponent processen onder zijn eigen naam uitvoeren. Deze techniek kan beveiligingsmaatregelen omzeilen die schadelijke bestanden identificeren door de uitvoering van processen nauwkeurig te onderzoeken. Omdat het een echt binair bestand is, wordt de component voor dynamisch laden niet als kwaadaardig herkend en kan de malware zichzelf verbergen voor deze beveiligingsmaatregelen.