Malware HeadCrab
Uma equipe de pesquisa da empresa de segurança Aqua Nautilus encontrou um malware perigoso e astuto chamado HeadCrab, que se infiltra em servidores em todo o mundo desde o final de 2021. Essa ameaça de ponta faz uso de um malware personalizado e difícil de detectar para comprometer os servidores Redis. , e assumiu o controle de pelo menos 1.200 servidores. O malware HeadCrab é capaz de contornar as soluções antivírus convencionais e sem agente.
O que é Redis - a plataforma alvo de ataques HeadCrab
O Redis é um armazenamento de dados na memória de código aberto que pode ser usado como banco de dados, cache ou agente de mensagens. Como deve ser executado em uma rede fechada e segura, os servidores Redis padrão acessíveis pela Internet são suscetíveis a acesso não autorizado e execução de comandos. O cluster Redis permite que os dados sejam divididos e armazenados automaticamente em vários nós, com servidores mestre e escravo para fácil replicação e sincronização de dados. Um servidor pode ser designado como Escravo através do comando SLAVEOF, permitindo que ele sincronize com o Mestre, inclusive baixando quaisquer módulos presentes no Mestre. Os módulos Redis são arquivos de objetos compartilhados executáveis que estendem a funcionalidade do servidor. Os módulos são carregados em um servidor por meio da porta Redis usando o comando MODULE LOAD.
Os servidores Redis foram alvo de invasores nos últimos anos devido a configurações incorretas e vulnerabilidades. À medida que a popularidade dos servidores Redis cresceu, também aumentou a frequência dos ataques, com incidentes como o malware Redigo e o TeamTNT direcionado aos servidores Redis.
O ataque a um servidor honeypot operado pela Aqua Nautilus começou com o invasor visando um servidor Redis. O servidor acabou sendo comprometido quando o comando SLAVEOF foi usado para configurá-lo como escravo de outro servidor Redis controlado pelo invasor. O Master iniciou uma sincronização do Slave, que por sua vez baixou o malware HeadCrab como um módulo Redis malicioso no servidor honeypot Slave. Essa tática foi usada por invasores para carregar módulos Redis maliciosos nos hosts afetados.
O malware HeadCrab é uma ameaça altamente avançada e complexa. Construído como uma estrutura de módulo Redis malévola, possui uma infinidade de opções e habilidades.
Perfil e comportamento únicos do HeadCrab
A amostra HeadCrab encontrada pelo Aqua Nautilus não produziu nenhum resultado no Virus Total usando sua soma de verificação MD5. Apesar das tentativas de obter espécimes adicionais, a equipe não teve sucesso, o que fortalece a crença de que se trata de um malware altamente evasivo e original.
No início de sua execução, o malware utiliza a função RedisModule_OnLoad que é ativada quando o servidor Redis carrega o módulo. O malware então armazena os endereços das funções essenciais da API do Redis para uso futuro e verifica se um módulo chamado rds já está carregado. Se for, o malware irá parar imediatamente sem realizar nenhuma atividade maliciosa.
O módulo pode ser carregado com dois argumentos ou números mágicos, que na verdade são dois números mágicos globais que servem como chaves de criptografia e para confirmar que o usuário é realmente o agente da ameaça. Posteriormente, o malware pode modificar esses números mágicos em várias partes de sua execução. O módulo pode ser carregado com ou sem os números mágicos, e isso afetará alguns dos recursos do malware durante a execução.
O software prejudicial identifica a rota para o componente de carregamento dinâmico, permitindo que ele execute programas. Ao fornecer o executável desejado como parâmetro, o componente de carregamento dinâmico pode executar processos com seu próprio nome. Essa técnica pode evitar medidas de segurança que identificam arquivos nocivos examinando a execução de processos. Sendo um binário genuíno, o componente de carregamento dinâmico não é reconhecido como malicioso e o malware pode se esconder dessas medidas de segurança.
