Monero için madencilik yapmak için ısmarlama kötü amaçlı yazılım kullanan HeadCrab adlı sinsi bir botnet, son 18 ayda en az 1.200 Redis sunucusuna bulaştı.
HeadCrab kötü amaçlı yazılımını keşfeden ve şimdi onu tespit etmenin bir yolunu bulan Aqua Security’nin Nautilus araştırmacılarına göre, güvenliği ihlal edilmiş sunucular ABD, İngiltere, Almanya, Hindistan, Malezya, Çin ve diğer ülkeleri kapsıyor.
Asaf Eitani ve Nitzan Yaakov, “Kurbanların çok az ortak noktası var gibi görünüyor, ancak saldırganın esas olarak Redis sunucularını hedeflediği ve kötü amaçlı yazılımın da gösterdiği gibi, Redis modülleri ve API’ler konusunda derin bir anlayışa ve uzmanlığa sahip olduğu görülüyor.” bildirildi.
Açık kaynaklı Redis veritabanı sunucularında kimlik doğrulama varsayılan olarak açık değildir; bu, HeadCrab saldırganlarının kendi avantajları için kullandıkları bir şeydir. Yöneticiler, kimlik doğrulamayı etkinleştirmezse veya sunucuların internete açık olmak yerine güvenli, kapalı bir ağda çalışmasını sağlarsa, sunucular yetkisiz erişime ve komut yürütmeye karşı savunmasız kalır. Görünüşe göre çoğu değil.
Ek olarak, Redis kümeleri, veri çoğaltma ve senkronizasyon için ana ve bağımlı sunucuları kullanır ve HeadCrab, saldırılarında bundan da yararlanır.
Kimlik doğrulama gerektirmeyen bir sunucu bulduktan sonra, kötü niyetli kişiler varsayılan SLAVEOF komutunu kullanarak kurban sunucuyu saldırganın kontrolündeki bir Redis sunucusunun kölesi olarak ayarlayabilir. Bu, bağımlı sunucuyu senkronize etmelerine ve HeadCrab kötü amaçlı yazılımını ana sunucudan etkilenen ana bilgisayarlara indirmelerine olanak tanır.
Güvenlik araştırmacıları saldırıların arkasında kimin olduğunu bilmese de, Redis sunucularını ele geçirme motivasyonunun yasa dışı kripto para birimi madenciliği olduğu görülüyor. Aqua ekibi, madenci yapılandırma dosyasını bellekten çıkarmayı başardı ve bunun, öncelikle temiz ana bilgisayarlara veya adsız bir “öncü güvenlik şirketine” ait özel, meşru IP adreslerinde barındırılan madencilik havuzlarını gösterdiğini söylüyorlar.
Eitani ve Yaakov, saldırganın Monero cüzdanına dayanarak, dolandırıcıların virüs bulaşan işçi başına yıllık yaklaşık 4.500 ABD doları kar beklediklerini tahmin ediyor.
Araştırmacılar, “Saldırganın, saldırılarının gizliliğini sağlamak için büyük çaba sarf ettiğini fark ettik” dedi.
Bu, kötü amaçlı yazılımın bellekte çalışacak şekilde tasarlanmasını ve böylece birim tabanlı taramaları atlamayı, Redis modül çerçevesini ve API’yi kullanarak günlükleri silmeyi ve meşru bir IP adresiyle iletişim kurmayı (yine tespit edilmekten kaçınmak ve kötü amaçlı olarak işaretlenme olasılığını azaltmak için) içerir. .
Eitani ve Yaakov, “Analizimiz, bu ikili dosyaların Virus Total’de kötü amaçlı olarak tespit edilmediğini de ortaya çıkardı,” diye yazdı ve ekledi: “HeadCrab’in sunuculara sızmak için en son teknikleri kullanmaya devam edeceğine inanıyoruz. yanlış yapılandırmalar veya güvenlik açıkları.”
Güvenlik araştırmacıları, enfeksiyonlara karşı korunmak için Redis örneklerini internete veya diğer güvenilmeyen ortamlara maruz bırakmamanızı tavsiye ediyor. Ek olarak, bulut tabanlı Redis sunucuları için daha fazla korumalı açın ve sunucunuzun yalnızca bilinen ana makinelerden gelen iletişimi kabul etmesini sağlamak için bind parametresini kullanın.
Son olarak, “slaveof” özelliğine ihtiyacınız yoksa, Eitani ve Yaakov “onu devre dışı bırakmanızı şiddetle tavsiye ediyor.” ®