Вредоносное ПО HeadCrab

Исследовательская группа совместно с компанией по обеспечению безопасности Aqua Nautilus обнаружила опасную и коварную вредоносную программу под названием HeadCrab, которая проникает на серверы по всему миру с конца 2021 года. Эта передовая угроза использует специально созданное, трудно обнаруживаемое вредоносное ПО для взлома серверов Redis. , и взял под свой контроль как минимум 1200 серверов. Вредоносная программа HeadCrab способна обходить безагентные и обычные антивирусные решения.

Что такое Redis — платформа, на которую нацелены атаки HeadCrab

Redis — это хранилище данных в памяти с открытым исходным кодом, которое можно использовать в качестве базы данных, кэша или брокера сообщений. Поскольку он предназначен для работы в безопасной закрытой сети, серверы Redis по умолчанию, доступные из Интернета, подвержены несанкционированному доступу и выполнению команд. Кластер Redis позволяет автоматически разделять и хранить данные на нескольких узлах, используя главный и подчиненный серверы для простой репликации и синхронизации данных. Сервер можно обозначить как ведомый с помощью команды SLAVEOF, что позволит ему синхронизироваться с главным, включая загрузку любых модулей, присутствующих на ведущем. Модули Redis — это исполняемые файлы общих объектов, которые расширяют функциональные возможности сервера. Модули загружаются и загружаются на сервер через порт Redis с помощью команды MODULE LOAD.

В последние годы серверы Redis стали мишенью для злоумышленников из-за неправильных настроек и уязвимостей. По мере роста популярности серверов Redis росла и частота атак, включая такие инциденты, как вредоносное ПО Redigo и TeamTNT, нацеленные на серверы Redis.

Атака на сервер-приманку, управляемая Aqua Nautilus, началась с того, что злоумышленник нацелился на сервер Redis. В конечном итоге сервер был скомпрометирован, когда команда SLAVEOF использовалась для установки его в качестве ведомого другого сервера Redis, контролируемого злоумышленником. Мастер инициировал синхронизацию ведомого, который, в свою очередь, загрузил вредоносное ПО HeadCrab в виде вредоносного модуля Redis на сервер-приманку ведомого. Эта тактика использовалась злоумышленниками для загрузки вредоносных модулей Redis на уязвимые хосты.

Вредоносная программа HeadCrab представляет собой очень сложную и сложную угрозу. Построенный как вредоносная модульная структура Redis, он имеет множество опций и возможностей.

Уникальный профиль и поведение HeadCrab

Образец HeadCrab, обнаруженный Aqua Nautilus, не дал никаких результатов на Virus Total с использованием его контрольной суммы MD5. Несмотря на попытки получить дополнительные образцы, команда не добилась успеха, что укрепляет уверенность в том, что это весьма неуловимая и оригинальная вредоносная программа.

В начале своего выполнения вредонос использует функцию RedisModule_OnLoad, которая активируется, когда сервер Redis загружает модуль. Затем вредоносное ПО сохраняет адреса основных функций Redis API для использования в будущем и проверяет, загружен ли уже модуль с именем rds. Если это так, вредоносная программа немедленно остановится, не выполняя никаких вредоносных действий.

Модуль может быть загружен с двумя аргументами или магическими числами, которые на самом деле являются двумя глобальными магическими числами, которые служат ключами шифрования и подтверждают, что пользователь действительно является злоумышленником. Позже вредоносное ПО может изменять эти магические числа в различных частях своего исполнения. Модуль может быть загружен с магическими числами или без них, и это повлияет на некоторые возможности вредоносного ПО во время выполнения.

Вредоносное ПО идентифицирует путь к компоненту динамической загрузки, позволяя ему запускать программы. Указав желаемый исполняемый файл в качестве параметра, компонент динамической загрузки может запускать процессы под своим именем. Этот метод может обойти меры безопасности, которые идентифицируют вредоносные файлы, тщательно проверяя выполнение процессов. Будучи подлинным двоичным файлом, компонент динамической загрузки не распознается как вредоносный, и вредоносное ПО может скрывать себя от этих мер безопасности.