HeadCrab Malware

Ett forskarteam med säkerhetsföretaget Aqua Nautilus har hittat en farlig och listig skadlig kod som heter HeadCrab som har infiltrerat servrar över hela världen sedan slutet av 2021. Detta banbrytande hot använder sig av en skräddarsydd, svårupptäckt skadlig programvara för att äventyra Redis servrar. , och har tagit kontroll över minst 1 200 servrar. Skadlig programvara HeadCrab kan kringgå agentfria och konventionella antiviruslösningar.

Vad är Redis - plattformen som riktas mot HeadCrab-attacker

Redis är ett datalager med öppen källkod i minnet som kan användas som en databas, cache eller meddelandeförmedlare. Eftersom det är tänkt att köras på ett säkert, slutet nätverk, är standard Redis-servrar som är tillgängliga från internet mottagliga för obehörig åtkomst och kommandoexekvering. Redis-klustret gör att data automatiskt kan delas och lagras över flera noder, med en master- och slavservrar för enkel datareplikering och synkronisering. En server kan designas som en slav med kommandot SLAVEOF, vilket gör att den kan synkroniseras med mastern, inklusive nedladdning av alla moduler som finns på mastern. Redis-moduler är körbara Shared Object-filer som utökar serverns funktionalitet. Moduler laddas upp och laddas till en server via Redis-porten med kommandot MODULE LOAD.

Redis-servrar har varit föremål för angripare de senaste åren på grund av felkonfigurationer och sårbarheter. I takt med att Redis-servrarnas popularitet har ökat, har även frekvensen av attacker ökat, med incidenter som Redigo malware och TeamTNT riktade mot Redis-servrar.

Attacken på en honeypot-server som drivs av Aqua Nautilus började med att angriparen riktade in sig på en Redis-server. Servern komprometterades så småningom när kommandot SLAVEOF användes för att ställa in den som en slav för en annan Redis-server som kontrollerades av angriparen. Mästaren initierade en synkronisering av Slaven, som i sin tur laddade ner HeadCrab malware som en skadlig Redis-modul till Slave Honeypot-servern. Denna taktik har använts av angripare för att ladda skadliga Redis-moduler på drabbade värdar.

HeadCrab malware är ett mycket avancerat och invecklat hot. Konstruerad som ett illvilligt Redis-modulramverk har den en mängd alternativ och förmågor.

HeadCrabs unika profil och beteende

HeadCrab-provet som Aqua Nautilus påträffade har inte gett några resultat på Virus Total med hjälp av dess MD5-kontrollsumma. Trots försök att skaffa ytterligare exemplar misslyckades teamet, vilket stärker tron att detta är en mycket svårfångad och original skadlig programvara.

I början av dess körning använder den skadliga programvaran RedisModule_OnLoad-funktionen som aktiveras när Redis-servern laddar modulen. Skadlig programvara lagrar sedan adresserna till väsentliga Redis API-funktioner för framtida användning och verifierar om en modul med namnet rds redan är laddad. Om så är fallet kommer den skadliga programvaran omedelbart att sluta utan att utföra några skadliga aktiviteter.

Modulen kan laddas med två argument eller magiska siffror som faktiskt är två globala magiska siffror som fungerar som krypteringsnycklar och för att bekräfta att användaren verkligen är hotaktören. Senare kan skadlig programvara ändra dessa magiska siffror i olika delar av dess utförande. Modulen kan laddas med eller utan de magiska siffrorna, och detta kommer att påverka en del av skadlig programvaras kapacitet under körning.

Den skadliga programvaran identifierar vägen till den dynamiska laddningskomponenten, vilket gör att den kan köra program. Genom att tillhandahålla den önskade körbara filen som en parameter kan den dynamiska laddningskomponenten köra processer under sitt eget namn. Denna teknik kan kringgå säkerhetsåtgärder som identifierar skadliga filer genom att granska utförandet av processer. Eftersom den dynamiska laddningskomponenten är en äkta binär, känns den inte som skadlig, och skadlig programvara kan dölja sig från dessa säkerhetsåtgärder.