自 2021 年 9 月以来,旨在在线追捕易受攻击的 Redis 服务器的新型隐蔽恶意软件已经感染了 1000 多个服务器,以构建一个挖掘 Monero 加密货币的僵尸网络。
由 Aqua Security 研究人员 Nitzan Yaakov 和 Asaf Eitani 发现,并将其命名为 HeadCrab,该恶意软件迄今已诱捕至少 1,200 台此类服务器,这些服务器还用于在线扫描更多目标。
研究人员表示:“这种高级威胁行为者利用无代理和传统防病毒解决方案无法检测到的最先进的定制恶意软件来破坏大量 Redis 服务器。” 说.
“我们不仅发现了 HeadCrab 恶意软件,还发现了一种在 Redis 服务器中检测其感染的独特方法。当我们的方法应用于暴露在外的服务器时,我们发现了大约 1,200 台活跃的受感染服务器。”
这个僵尸网络背后的威胁行为者利用了 Redis 服务器默认没有启用身份验证这一事实,因为它们被设计为在组织网络内使用,不应暴露给 Internet 访问。
如果管理员不保护它们并无意(或有意)将它们配置为可从本地网络外部访问,攻击者可以使用恶意工具或恶意软件轻松破坏和劫持它们。
一旦他们获得对不需要身份验证的服务器的访问权限,恶意行为者就会发出“SLAVEOF”命令来同步他们控制下的主服务器,从而将 HeadCrab 恶意软件部署到新被劫持的系统上。
在安装和启动后,HeadCrab 为攻击者提供了完全控制目标服务器并将其添加到他们的加密挖矿僵尸网络所需的所有功能。
它还将在受感染设备的内存中运行,以绕过反恶意软件扫描和 Aqua Security 分析的样本 在 VirusTotal 上未显示任何检测结果.
它还会删除所有日志,并且只与其主人控制的其他服务器通信以逃避检测。
研究人员补充说:“攻击者与合法 IP 地址(主要是其他受感染的服务器)通信,以逃避检测并降低被安全解决方案列入黑名单的可能性。”
“恶意软件主要基于不太可能被标记为恶意的 Redis 进程。有效载荷通过 memfd 加载,内存文件和内核模块直接从内存加载,避免磁盘写入。”
在分析恶意软件时,他们还发现攻击者主要使用托管在先前受损服务器上的矿池来使归因和检测复杂化。
此外,与该僵尸网络相关联的 Monero 钱包显示,攻击者估计每名工人每年可赚取 4,500 美元左右的利润,远高于类似操作通常每名工人 200 美元的利润。
为了保护他们的 Redis 服务器,建议管理员确保只有他们网络中的客户端才能访问它们,禁用未使用的“slaveof”功能,并启用保护模式,该模式将实例配置为仅响应环回地址并拒绝来自其他 IP 地址的连接。
阅读更多