HeadCrab 恶意软件

安全公司 Aqua Nautilus 的研究团队发现了一种名为 HeadCrab 的危险且狡猾的恶意软件，自 2021 年底以来一直在渗透全球服务器。这种尖端威胁利用定制的、难以检测的恶意软件来破坏 Redis 服务器，并控制了至少 1,200 台服务器。 HeadCrab 恶意软件能够绕过无代理和传统的防病毒解决方案。

什么是 Redis - HeadCrab 攻击的目标平台

Redis 是一种开源内存数据存储，可用作数据库、缓存或消息代理。由于它旨在在安全、封闭的网络上运行，因此可从 Internet 访问的默认 Redis 服务器容易受到未经授权的访问和命令执行。 Redis Cluster 允许数据自动划分并存储在多个节点上，具有Master 和Slave 服务器，便于数据复制和同步。可以使用 SLAVEOF 命令将服务器指定为 Slave，允许它与 Master 同步，包括下载 Master 上存在的任何模块。 Redis 模块是扩展服务器功能的可执行共享对象文件。使用 MODULE LOAD 命令通过 Redis 端口将模块上传并加载到服务器上。

由于配置错误和漏洞，Redis 服务器近年来成为攻击者的目标。随着 Redis 服务器的普及，攻击的频率也越来越高，例如 Redigo 恶意软件和 TeamTNT 等针对 Redis 服务器的事件。

对 Aqua Nautilus 运营的蜜罐服务器的攻击始于攻击者以 Redis 服务器为目标。当使用 SLAVEOF 命令将服务器设置为攻击者控制的另一台 Redis 服务器的从服务器时，服务器最终遭到破坏。 Master 启动 Slave 的同步，Slave 随后将 HeadCrab 恶意软件作为恶意 Redis 模块下载到 Slave 蜜罐服务器上。攻击者已使用此策略将恶意 Redis 模块加载到受影响的主机上。

HeadCrab 恶意软件是一种高度先进且错综复杂的威胁。作为一个恶意的 Redis 模块框架构建，它具有多种功能和功能。

HeadCrab 独特的外形和行为

Aqua Nautilus 遇到的 HeadCrab 样本使用其 MD5 校验和未在 Virus Total 上产生任何结果。尽管尝试获取更多样本，但该团队没有成功，这加强了人们相信这是一种高度难以捉摸的原始恶意软件。

在开始执行时，恶意软件使用 RedisModule_OnLoad 函数，该函数在 Redis 服务器加载模块时被激活。然后，恶意软件会存储基本 Redis API 函数的地址以供将来使用，并验证是否已加载名为 rds 的模块。如果是，恶意软件将立即停止，而不会执行任何恶意活动。

该模块可以加载两个参数或幻数，它们实际上是两个全局幻数，用作加密密钥并确认用户确实是威胁者。随后，恶意软件可以在其执行的各个部分修改这些幻数。该模块可以加载或不加载幻数，这将在执行期间影响恶意软件的某些功能。

有害软件识别动态加载组件的路径，使其运行程序。通过提供所需的可执行文件作为参数，动态加载组件可以以自己的名称运行进程。这种技术可以通过仔细检查进程的执行来规避识别有害文件的安全措施。作为一个真正的二进制文件，动态加载组件不会被识别为恶意的，并且恶意软件可以隐藏自己以避开这些安全措施。