Savunmasız Redis sunucularını avlamak için tasarlanmış yeni gizli kötü amaçlı yazılımlar, Monero kripto para birimi için mayın bir botnet oluşturmak için Eylül 2021'den bu yana binden fazla bulaştı.
Aqua güvenlik araştırmacıları Nitzan Yaakov ve Headcrab olarak adlandırılan Asaf Eitani tarafından keşfedilen kötü amaçlı yazılım, şimdiye kadar daha fazla hedef için tarama yapmak için kullanılan en az 1.200 bu sunucuyu kapattı.
Araştırmacılar, "Bu gelişmiş tehdit oyuncusu, çok sayıda REDIS sunucusunu tehlikeye atmak için ajansız ve geleneksel anti-virüs çözümleri tarafından tespit edilemeyen son teknoloji ürünü, özel yapım bir kötü amaçlı yazılım kullanıyor." Dedi.
"Sadece Headcrab kötü amaçlı yazılımını değil, aynı zamanda Redis sunucularındaki enfeksiyonlarını tespit etmek için benzersiz bir yöntem keşfettik. Yöntemimiz, vahşi doğada açık sunuculara uygulandığında yaklaşık 1.200 aktif olarak enfekte sunucu buldu."
Bu botnet'in arkasındaki tehdit aktörleri, Redis sunucularının bir kuruluşun ağında kullanılmak üzere tasarlandıkları ve İnternet erişimine maruz kalmamaları gerektiği için varsayılan olarak kimlik doğrulamasının etkinleştirilmemesi gerçeğinden yararlanır.
Yöneticiler onları güvence altına almazlar ve yanlışlıkla (veya kasıtlı olarak) yerel ağlarının dışından erişilebileceklerini yapılandırırsa, saldırganlar kötü amaçlı araçlar veya kötü amaçlı yazılım kullanarak kolayca tehlikeye atabilir ve bunları kaçırabilirler.
Kimlik doğrulama gerektirmeyen sunuculara eriştikten sonra, kötü amaçlı aktörler, baş crab kötü amaçlı yazılımları yeni kaçırılan sisteme dağıtmak için kontrolleri altında bir ana sunucuyu senkronize etmek için bir 'slaveof' komutu verir.
Kurulduktan ve başlatıldıktan sonra Headcrab, saldırganlara hedeflenen sunucunun tam kontrolünü ele geçirmek ve kriptominasyon botnet'lerine eklemek için gerekli tüm özellikleri sağlar.
Ayrıca, kötü amaçlı yazılım karşıtı taramaları atlamak için uzlaşmış cihazlarda bellekte çalışacaktır ve Aqua Security tarafından analiz edilen numuneler Virustotal üzerinde hiçbir tespit göstermemiştir.
Ayrıca tüm günlükleri siler ve yalnızca tespitten kaçınmak için ustaları tarafından kontrol edilen diğer sunucularla iletişim kurar.
Araştırmacılar, "Saldırgan, algılamadan kaçınmak ve güvenlik çözümleri tarafından kara listeye alma olasılığını azaltmak için başta diğer enfekte sunucular olmak üzere meşru IP adresleriyle iletişim kuruyor."
"Kötü amaçlı yazılım öncelikle kötü niyetli olarak işaretlenmesi olası olmayan REDIS işlemlerine dayanmaktadır. Yükler MEMFD aracılığıyla yüklenir, sadece bellek dosyaları ve çekirdek modülleri doğrudan bellekten yüklenir ve disk yazılarından kaçınır."
Kötü amaçlı yazılımları analiz ederken, saldırganların esas olarak ilişkilendirmeyi ve tespiti karmaşıklaştırmak için daha önce uzlaşmış sunucularda barındırılan madencilik havuzlarını kullandıklarını buldular.
Ayrıca, bu botnet ile bağlantılı Monero cüzdanı, saldırganların işçi başına yaklaşık 4.500 dolarlık tahmini bir kârda, normal 200 $/işçi benzer operasyonlardan çok daha yüksek olduğunu gösterdi.
REDIS sunucularını savunmak için, yöneticilerin yalnızca ağlarındaki müşterilerin bunlara erişebilmelerini, kullanılmadığı takdirde "köle" özelliğini devre dışı bırakmaları ve örneği yalnızca döngü adresine yanıt vermesini ve reddetmesini sağlayan korumalı modu etkinleştirmeleri tavsiye edilir. Diğer IP adreslerinden bağlantılar.
Güncelleme 03 Şubat 10:27 EST: Bir Redis sözcüsü, makale yayınlandıktan sonra aşağıdaki ifadeyi gönderdi:
Redis, siber güvenlik araştırma topluluğunu çok destekliyor ve bu raporu Redis topluluğuna fayda sağlamak için Aquasec'i tanımak istiyoruz. Raporları, yanlış yapılandırmanın Redis'in potansiyel tehlikelerini göstermektedir. Tüm REDIS kullanıcılarını açık kaynak ve ticari belgelerimizde yayınlanan güvenlik rehberliğini ve en iyi uygulamaları izlemeye teşvik ediyoruz. Ayrıca, hem açık kaynakımızı hem de ticari tekliflerimizi kapsayan Redis Üniversitesi'nin bir parçası olarak ücretsiz bir güvenlik kursu sunuyoruz.
Redis Enterprise Software veya Redis Cloud Services'ın bu saldırılardan etkilendiğine dair hiçbir işaret olmadığını belirtmeliyiz.
Microsoft: PostgreSQL aracılığıyla kötü amaçlı yazılım kampanyasında hacklenen Kubernetes kümeleri
Yeni SHC derlenmiş Linux kötü amaçlı yazılımlar Cryptominers, DDOS botları yüklüyor
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
GLUDTEBA kötü amaçlı yazılım Google Baskısı'ndan sonra tekrar harekete geçti
Microsoft, Windows, Linux enfekte edici yeni Minecraft DDOS kötü amaçlı yazılımları uyarıyor
Kaynak: Bleeping Computer