HeadCrab 惡意軟件

安全公司 Aqua Nautilus 的研究團隊發現了一種名為 HeadCrab 的危險且狡猾的惡意軟件，自 2021 年底以來一直在滲透全球服務器。這種尖端威脅利用定制的、難以檢測的惡意軟件來破壞 Redis 服務器，並控制了至少 1,200 台服務器。 HeadCrab 惡意軟件能夠繞過無代理和傳統的防病毒解決方案。

什麼是 Redis - HeadCrab 攻擊的目標平台

Redis 是一種開源內存數據存儲，可用作數據庫、緩存或消息代理。由於它旨在在安全、封閉的網絡上運行，因此可從 Internet 訪問的默認 Redis 服務器容易受到未經授權的訪問和命令執行。 Redis Cluster 允許數據自動劃分並存儲在多個節點上，具有Master 和Slave 服務器，便於數據複製和同步。可以使用 SLAVEOF 命令將服務器指定為 Slave，允許它與 Master 同步，包括下載 Master 上存在的任何模塊。 Redis 模塊是擴展服務器功能的可執行共享對象文件。使用 MODULE LOAD 命令通過 Redis 端口將模塊上傳並加載到服務器上。

由於配置錯誤和漏洞，Redis 服務器近年來成為攻擊者的目標。隨著 Redis 服務器的普及，攻擊的頻率也越來越高，例如 Redigo 惡意軟件和 TeamTNT 等針對 Redis 服務器的事件。

對 Aqua Nautilus 運營的蜜罐服務器的攻擊始於攻擊者以 Redis 服務器為目標。當使用 SLAVEOF 命令將服務器設置為攻擊者控制的另一台 Redis 服務器的從服務器時，服務器最終遭到破壞。 Master 啟動 Slave 的同步，Slave 隨後將 HeadCrab 惡意軟件作為惡意 Redis 模塊下載到 Slave 蜜罐服務器上。攻擊者已使用此策略將惡意 Redis 模塊加載到受影響的主機上。

HeadCrab 惡意軟件是一種高度先進且錯綜複雜的威脅。作為一個惡意的 Redis 模塊框架構建，它具有多種功能和能力。

HeadCrab 獨特的外形和行為

Aqua Nautilus 遇到的 HeadCrab 樣本使用其 MD5 校驗和未在 Virus Total 上產生任何結果。儘管嘗試獲取更多樣本，但該團隊沒有成功，這加強了人們相信這是一種高度難以捉摸的原始惡意軟件。

在開始執行時，惡意軟件使用 RedisModule_OnLoad 函數，該函數在 Redis 服務器加載模塊時被激活。然後，惡意軟件會存儲基本 Redis API 函數的地址以供將來使用，並驗證是否已加載名為 rds 的模塊。如果是，惡意軟件將立即停止，而不會執行任何惡意活動。

該模塊可以加載兩個參數或幻數，它們實際上是兩個全局幻數，用作加密密鑰並確認用戶確實是威脅者。隨後，惡意軟件可以在其執行的各個部分修改這些幻數。該模塊可以加載或不加載幻數，這將在執行期間影響惡意軟件的某些功能。

有害軟件識別動態加載組件的路徑，使其運行程序。通過提供所需的可執行文件作為參數，動態加載組件可以以自己的名稱運行進程。這種技術可以通過仔細檢查進程的執行來規避識別有害文件的安全措施。作為一個真正的二進製文件，動態加載組件不會被識別為惡意的，並且惡意軟件可以隱藏自己以避開這些安全措施。