Araştırmacılar, Go -Language dilinde yazılmış, Redis sunucularını hedef alan ve sunucuların tam kontrolünü ele geçirmek için bir arka kapı açan “Redigo” adlı yeni bir arka kapı kötü amaçlı yazılımını ortaya çıkardı.
Redigo Kötü Amaçlı Yazılımı, saldırganların Redis güvenlik açığından (CVE-2022-0543) yararlanmaya çalıştığı, savunmasız Redis bal küpleri aracılığıyla ortaya çıkarıldı.
Redis (uzak sözlük sunucusu), Unix benzeri bir işletim sistemine dayalı açık kaynaklı bir bellek içi veritabanı ve önbellektir. Redis, dizeler, listeler, haritalar, kümeler ve sıralanmış kümeler gibi farklı soyut veri yapılarını destekler.
Aqua’dan araştırmacılar, “Araştırmamız, saldıran sunucunun güvenliği ihlal edilmiş makineye hükmetmesine izin vermek için Redis sunucularını hedeflemek üzere tasarlanmış Golang’da yazılmış yeni tespit edilmemiş kötü amaçlı yazılımları ortaya çıkardı” dedi.
Redis mimarisi, sunucuların verileri bellekte depolamak ve yönetim süreçlerini yönetmek gibi çeşitli işlemleri yürüttüğü Redis istemcilerini ve sunucularını birleştirdi.
Ayrıca sunucu, kullanıcıların Lua komut dosyalarını doğrudan sunucuya yüklemesine ve yürütmesine izin veren yerleşik bir Lua komut dosyası motoruna sahiptir, bu da kullanıcıların komut dizilerinden veri okuma ve yazma sürecini verimli bir şekilde gerçekleştirmelerine yardımcı olur.
Lua komut dosyası motorunda ortaya çıkarılan bir güvenlik açığı CVE-2022-0543, tehdit aktörlerinin bu saldırıyı Redis sunucusunda gerçekleştirmesine ve Redigo kötü amaçlı yazılımını bırakarak sunucu erişimi kazanmasına olanak tanır.
Redigo Kötü Amaçlı Yazılım Bulaşma Süreci
Bu saldırının ilk aşamasında, Tehdit aktörleri, 6379 numaralı TCP bağlantı noktası üzerinden internete açılan savunmasız Redis sunucularını bulmak için tarayıcılar veya bir botnet kullanarak toplu tarama gerçekleştirir.
Saldırganlar, tespit edilmekten kaçınmak için, Redis kümeleri arasındaki iletişimi simüle eden, 6379 numaralı bağlantı noktasını kullanan ve komutları savunmasız sunucuya aktarmalarına yardımcı olan Redis’in görünürde meşru bir iletişim yöntemi izler.
Sonuç olarak Redigo, Redis’in yeni bir arka kapı kötü amaçlı yazılımıdır ve araştırma sırasında Virus Total’de tüm satıcılar tarafından tespit edilmeden kalır.
Aqua’dan araştırmacılar, savunmasız Redis sunucusu ile tehdit aktörleri tarafından kontrol edilen saldıran sunucu arasındaki iletişimi yakaladılar ve bu saldırının bir parçası olarak kullanılan birkaç takip etme komutu buldular.
- BİLGİ komutu -Rakiplerin Redis sunucumuz hakkında bilgi almasını sağlayan bir komut.
- SLAVEOF komutu –Düşmanların saldıran sunucunun bir kopyasını oluşturmasına izin veren bir komut.
- REPLCONF komutu – Ana sunucu ile çoğaltma sunucusu arasındaki bağlantıyı yapılandırın.
- PSYNC komutu – yeni replika bu komutu çalıştırır ve master’dan bir replikasyon akışı başlatır.
- MODÜL YÜK komutu – Dinamik kitaplık modülünü yüklemek, güvenlik açığından yararlanmaya izin verir ve daha sonra rasgele komutlar çalıştırır.
- KÖLELİK KİMSENİN komutu – bu, çoğaltmayı kapatır ve savunmasız Redis sunucusunu bir ana sunucuya dönüştürür.
Yukarıda yakalanan iletişimde gördüğümüz exp_lin.so kitaplık dosyası, bal küpü sunucumuzda kasıtlı olarak bırakılan güvenlik açığından yararlanan kodu yürütmekten sorumludur.
Araştırmacılar, saldırganın rasgele bir komut yürütmesine ve saldırılarını başlatmasına izin veren “system.exec” komutunu içeren bir dosya ortaya çıkardı.
“Komut iki farklı amaç için kullanıldı, ilki CPU mimarisi hakkında bilgi almak için etkinleştirildi ve ikincisi yeni keşfedilen Redigo kötü amaçlı yazılımını saldıran sunucudan indirmek ve sonunda dosyanın yürütme izinlerini yükseltmek için kullanıldı. sunucuda.” Aqua araştırmacıları, GBHackers ile paylaşılan raporda detaylandırıldı.
Ayrıca bırakılan kötü amaçlı yazılım, saldırganların hedeflenen ana bilgisayar ile C2 sunucusu arasındaki iletişimleri gizlemesine izin veren Redis sunucusu iletişimini taklit eder.
Araştırmacılar, etkinin tam kapsamı hakkında net değiller, ancak bu saldırının modeli, hedeflenen bir ana bilgisayarı büyük bir botnet’e eklemeye izin veriyor, bu da genellikle güvenliği ihlal edilen sunucunun bir Dağıtılmış Hizmet Reddi’nde (DDoS) yer alacağı anlamına geliyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin