Złośliwe oprogramowanie HeadCrab

Zespół badawczy wraz z firmą ochroniarską Aqua Nautilus wykrył niebezpieczne i przebiegłe złośliwe oprogramowanie o nazwie HeadCrab, które infiltruje serwery na całym świecie od końca 2021 roku. i przejął kontrolę nad co najmniej 1200 serwerami. Szkodliwe oprogramowanie HeadCrab jest w stanie ominąć bezagentowe i konwencjonalne rozwiązania antywirusowe.

Co to jest Redis — platforma będąca celem ataków HeadCrab

Redis to magazyn danych typu open source w pamięci, którego można używać jako bazy danych, pamięci podręcznej lub brokera komunikatów. Ponieważ ma działać w bezpiecznej, zamkniętej sieci, domyślne serwery Redis dostępne z Internetu są podatne na nieautoryzowany dostęp i wykonanie poleceń. Klaster Redis umożliwia automatyczne dzielenie i przechowywanie danych w wielu węzłach, z serwerami Master i Slave dla łatwej replikacji i synchronizacji danych. Serwer może być wyznaczony jako Slave za pomocą polecenia SLAVEOF, co pozwala na synchronizację z Master, w tym pobieranie dowolnych modułów obecnych na Master. Moduły Redis to wykonywalne pliki Shared Object, które rozszerzają funkcjonalność serwera. Moduły są przesyłane i ładowane na serwer przez port Redis za pomocą polecenia MODULE LOAD.

Serwery Redis były celem ataków w ostatnich latach ze względu na błędne konfiguracje i luki w zabezpieczeniach. Wraz ze wzrostem popularności serwerów Redis wzrosła również częstotliwość ataków, takich jak złośliwe oprogramowanie Redigo i TeamTNT atakujące serwery Redis.

Atak na serwer honeypot obsługiwany przez Aqua Nautilus rozpoczął się od atakującego, którego celem był serwer Redis. Serwer został ostatecznie przejęty, gdy użyto polecenia SLAVEOF, aby ustawić go jako Slave innego serwera Redis kontrolowanego przez atakującego. Master zainicjował synchronizację urządzenia Slave, które z kolei pobrało złośliwe oprogramowanie HeadCrab jako złośliwy moduł Redis na serwer Slave honeypot. Ta taktyka została wykorzystana przez osoby atakujące do załadowania złośliwych modułów Redis na zainfekowane hosty.

Złośliwe oprogramowanie HeadCrab jest wysoce zaawansowanym i skomplikowanym zagrożeniem. Zbudowany jako złowrogi framework modułowy Redis, ma wiele opcji i możliwości.

Unikalny profil i zachowanie HeadCraba

Próbka HeadCrab napotkana przez Aqua Nautilus nie dała żadnych wyników w Virus Total przy użyciu sumy kontrolnej MD5. Mimo prób pozyskania dodatkowych okazów zespołowi nie powiodło się, co utwierdza w przekonaniu, że jest to wysoce nieuchwytne i oryginalne szkodliwe oprogramowanie.

Szkodliwe oprogramowanie na początku swojego działania wykorzystuje funkcję RedisModule_OnLoad, która jest aktywowana, gdy serwer Redis ładuje moduł. Szkodliwe oprogramowanie przechowuje następnie adresy podstawowych funkcji API Redis do wykorzystania w przyszłości i sprawdza, czy moduł o nazwie rds jest już załadowany. Jeśli tak, złośliwe oprogramowanie natychmiast zatrzyma się bez wykonywania żadnych złośliwych działań.

Moduł można załadować dwoma argumentami lub magicznymi liczbami, które w rzeczywistości są dwiema globalnymi magicznymi liczbami, które służą jako klucze szyfrujące i potwierdzają, że użytkownik rzeczywiście jest aktorem zagrożenia. Później złośliwe oprogramowanie może modyfikować te magiczne liczby w różnych częściach swojego działania. Moduł można załadować z magicznymi liczbami lub bez nich, co wpłynie na niektóre możliwości złośliwego oprogramowania podczas wykonywania.

Szkodliwe oprogramowanie identyfikuje trasę do komponentu ładowania dynamicznego, umożliwiając mu uruchamianie programów. Dostarczając żądany plik wykonywalny jako parametr, komponent ładowania dynamicznego może uruchamiać procesy pod własną nazwą. Technika ta może ominąć środki bezpieczeństwa, które identyfikują szkodliwe pliki, analizując wykonywanie procesów. Będąc prawdziwym plikiem binarnym, komponent dynamicznego ładowania nie jest rozpoznawany jako szkodliwy, a złośliwe oprogramowanie może ukrywać się przed tymi środkami bezpieczeństwa.