Redis to szybki i elastyczny system cache, znajdujący zastosowanie w szerokim zakresie aplikacji. Jest bazą danych typu key-value store, która może być używana jako cache lub persistent data store. Jest to projekt open source na licencji Apache 2.0, napisany w języku C.
A dlaczego o tym piszemy? Dlatego, że serwery Redis są celem nowego złośliwego oprogramowania, które wdraża rootkita w trybie użytkownika i wydobywa kryptowaluty. Fakt ten odkryła firma Cado, zajmująca się analityką chmurową i reagowaniem na incydenty.
W ramach obserwowanych ataków hakerzy wykonują na serwerach Redis ofiar serię poleceń, aby wyłączyć opcje konfiguracyjne i osłabić cel przed wdrożeniem szkodliwego ładunku.
Według Cado napastnicy wyłączają zabezpieczenia, które blokują połączenia ze źródeł spoza interfejsu pętli zwrotnej i odrzucają przychodzące polecenia zapisu, otwierając w ten sposób drzwi do wdrożenia złośliwego oprogramowania.
Głównym ładunkiem tych ataków jest złośliwe oprogramowanie o nazwie „Migo”, napisane w języku programowania Golang i pobierające instalator XMRig z GitHuba.
Po zainstalowaniu „górnika” i ustawieniu jego konfiguracji, Migo zaczyna wypytywać o dane o systemie, takie jak zalogowani użytkownicy i limity zasobów użytkowników.
Cado zauważył również wykonanie szeregu poleceń powłoki w celu utworzenia kopii pliku binarnego, który zostanie wykonany przy użyciu mechanizmu trwałości, wyłączenia SELinuksa, zidentyfikowania skryptów deinstalacyjnych dla agentów monitorujących, uruchomienia koparki, „zabicia” konkurencyjnych procesów koparki, wreszcie zapobiegania ruchowi wychodzącemu do niektórych adresów IP i domen.
Aby zachować trwałość, Migo korzysta z usługi systemowej i powiązanego z nią „timera”, który wykonuje ją co pięć sekund. Szkodnik wdraża również zmodyfikowaną wersję znanego rootkita działającego w trybie użytkownika, „libprocesshider”, którego używa do ukrywania artefaktów na dysku.
Ponadto programiści Migo podjęli kroki, aby ukryć złośliwe procesy, a także zaciemnić różne symbole i ciągi znaków, które można by wykorzystać do inżynierii wstecznej.
Chociaż wiele technik stosowanych w tych atakach można było zobaczyć w poprzednich incydentach z udziałem serwerów Redis, zastosowano też dużo nowych pomysłów, które pokazują, jak bardzo ewoluują zaawansowane grupy hakerskie.
„W kampanii wykorzystano szereg poleceń osłabiających system Redis, próbując wyłączyć funkcje bezpieczeństwa magazynu danych, które mogą utrudniać początkowe próby dostępu. Polecenia te nie były wcześniej zgłaszane w kampaniach wykorzystujących Redis w celu uzyskania pierwszego dostępu” – podkreśla Cado.
My z kolei polecamy nasz wcześniejszy tekst o tym, jak inny botnet wdrażający „koparki” ukrywa C2.