İnternetteki savunmasız Redis sunucularını hedeflemek için tasarlanmış yeni bir kötü amaçlı yazılım türü, Eylül 2021’den bu yana hızla yayılıyor.
Bu, gizlice çalışmak üzere tasarlanmış, hızla yayılan, binden fazla sunucuya sızmış ve Monero madenciliği için kullanılan bir botnet ağı oluşturan bir kötü amaçlı yazılımdır.
Aqua Security araştırmacıları Nitzan Yaakov ve Asaf Eitani, bu kötü amaçlı yazılımı bir süre önce keşfettiler ve ona HeadCrab adını verdiler. Bu tür toplam 1.200 sunucuya, interneti ek hedefler için taramak için de kullanılan kötü amaçlı yazılım bulaştı.
Bu sofistike grup, en son teknolojiyi kullanarak son derece uzmanlaşmış özel kötü amaçlı yazılımlar oluşturarak geleneksel güvenlik önlemlerini atlattı.
Bu, gizli kötü amaçlı yazılımı etkin bir şekilde tespitten kaçan, açıklardan yararlanan ve savunmasız olan önemli sayıda Redis sunucusunun kontrolünü ele geçiren daha gelişmiş hale getirdi.
Kötü amaçlı yazılım Saldırı Akışı
Redis sunucularında varsayılan olarak etkinleştirilen kimlik doğrulama yoktur, bu nedenle bu botnet’in arkasındaki tehdit aktörleri, botnet’lerini yaymak için bu gerçeği kullanır.
Tipik olarak bu botnet’ler, bir kuruluşun ağı içinde çalışacak şekilde tasarlanmıştır; bu, cihazlara İnternet erişimine izin verilmemesi gerektiği anlamına gelir.
Yöneticiler bunları düzgün bir şekilde güvence altına almazsa, saldırganların kötü amaçlı araçlar veya kötü amaçlı yazılım kullanarak güvenliklerini aşması muhtemeldir. Özetle, yöneticiler yerel ağı yapılandırırken son derece dikkatli olmalı ve kendi ağlarının dışından erişilemediğinden emin olmalıdır.
Kimlik doğrulama gerektirmeyen bir sunucuya erişim sağladıktan sonra, kötü niyetli aktörler ‘SLAVEOF’ adlı bir komut yayınlayacaktır.
Kontrolleri altında seçtikleri bir sunucuya erişim sağladıktan sonra, ana sunucularını senkronize edebilecekler. Sistem ele geçirildiğinde, HeadCrab kötü amaçlı yazılımı sistem üzerine kurulabilecektir.
HeadCrab, tehdit aktörlerine, hedeflenen bir sunucunun kontrolünü tamamen ele geçirmek ve onu kripto madenciliği botnet’lerine eklemek için ihtiyaç duydukları tüm yeteneklerle güçlendirir. Bu, kurulup piyasaya sürüldüğü anda yapılır.
Redis modülleri ve bu sunucular için tasarlanmış API’ler konusunda oldukça bilgili oldukları için tehdit aktörlerinin Redis sunucularına odaklandıkları görülmektedir.
Bellekte yerleşik kötü amaçlı yazılım, kullanılması durumunda kripto para birimi madenciliği için sistem kaynaklarını ele geçirme nihai hedefiyle tasarlanmıştır. Kabuk komutlarını yürütmenin yanı sıra uzak sunuculara veri iletebilir ve ayrıca dosyasız çekirdek modülleri yükleyebilir.
Algılanmayı önlemek için, tüm günlük dosyalarını da siler ve yalnızca ana sunucularına ait diğer sunucularla iletişim kurar.
Yıllık Kâr ve Redis Komutları
Bu botnet’e bağlı Monero cüzdanının, saldırganların faaliyetleri sonucunda yıllık yaklaşık 4.500$ kar elde ettiği belirlendi.
Bunun gibi kar marjları, ortalama olarak işçi başına 200 ABD Doları kazanan benzer operasyonlardan kazanılandan çok daha yüksektir.
Aşağıda, tehdit aktörü tarafından kötü amaçlı yazılımı çalıştırmak için kullanılan tüm Redis komutlarından bahsetmiştik: –
- rdsa
- rdss
- rdsp
- rdsi
- rdsm
- rdsc
- rdsr
- rdsx
HeadCrab kötü amaçlı yazılımı, ister sanal bir makinede ister bir kapsayıcıda çalışıyor olsun, Redis sunucularına gizlice saldırmak için tasarlanmıştır.
Azaltma
Redis sunucularıyla ilişkili güvenlik risklerini azaltmak için adımlar atmak ve Redis yapılandırmasının en iyi güvenlik uygulamalarıyla uyumlu olmasını sağlamak, aynı zamanda ortamı sağlamlaştırmanıza olanak tanır.
- Redis’in güvenli ve güvenilir bir ortamda kullanılabilmesi için güvenilmeyen istemcilerin Redis’e erişmesine izin vermeyin.
- Gelişmiş güvenlik için korumalı mod etkinleştirilmelidir, bu nedenle etkinleştirdiğinizden emin olun.
- Aşina olduğunuz ana bilgisayarlardan gelen iletişimi kabul etmek için bind parametresini kullanın.
- Önlem olarak, aktif olarak kullanılmıyorsa ‘slaveof’ özelliğini devre dışı bırakmanız şiddetle tavsiye edilir.
- Her şeyin yolunda olduğundan emin olmak için yazılımınızın tedarik zincirini kontrol edin.
- Güvenlik açıklarını ve hatalı yapılandırmaları tarayan araçlarla, geliştiricileriniz, DevOps ve güvenlik ekipleriniz güvenlik açıklarını belirleme yetkisine sahip olabilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin