Redisraider kampanyası, yanlış yapılandırılmış Redis örneklerini kullanarak Linux sunucularını hedefler

Datadog Security Research, “Redisraider” olarak adlandırılan ve özellikle Linux sunucularını halka açık REDIS örnekleriyle hedefleyen müthiş yeni bir kriptaj kampanyası ortaya çıkardı.

Bu sofistike Linux solucanı, yanlış yapılandırılmış Redis sunucularındaki güvenlik açıklarından yararlanmak için agresif yayılma teknikleri ve gelişmiş şaşkınlık kullanır ve XMRIG madencisinin Monero kripto para birimine madenci özelleştirilmiş bir versiyonunu dağıtır.

Redisraider’ın arkasındaki tehdit oyuncusu, Redis, Go programlama ve Linux içsellerinin derin bir anlayışını gösteriyor ve web tabanlı madencilik operasyonlarını içerecek şekilde sunucu tarafı sömürüsünün ötesine uzanan çok yönlü bir saldırı stratejisi düzenliyor.

– Reklamcılık –

Bu kampanya, Linux hedefli kriptaj aleminde yeni bir ölçüt oluşturuyor ve internetteki erişimini ve etkisini en üst düzeye çıkarmak için kasıtlı ve iyi mühendislik taktikleriyle birleştiriyor.

Sofistike bir kriptajlama solucanı ortaya çıkıyor

Redisraider, potansiyel hedefleri tanımlamak için özel bir algoritma kullanarak varsayılan 6379’da maruz kalan Redis sunucuları için IPv4 adres alanının randomize segmentlerini tarayarak saldırısını başlatır.

Savunmasız bir ana bilgisayar bulduktan sonra, Redis’in seti ve yapılandırma komutları aracılığıyla sistemi kullanmadan önce bir Linux ortamını onaylamak için bilgi komutunu yayınlar.

Bu komutlar, tespitten kaçınmak için kısa bir 120 saniyelik TTL anti-forensik önlemi ile Base64 kodlu bir kabuk komut dosyası yazarak kötü niyetli cron işleri enjekte etmek için istismar edilir.

Komut dosyası, /TMP /MySQL’e ağır bir şekilde gizlenmiş bir GO tabanlı X86-64 ELF ikili olan birincil yükü indirir, bu da daha sonra gömülü XMRIG madencisini çalışma zamanında açar ve dağıtır.

Daha fazla şaşkınlık, madenci yükünü gizlemek için özel paketleme rutinleri ve dize şifreleme ile birlikte statik analizi engellemek için sembolleri karıştıran bir derleme zamanı obfuscator olan Garble ile elde edilir.

Sömürü ve Kaçınma’nın Teknik İncelenenleri

Kötü amaçlı yazılım ayrıca, sıkıştırmayı devre dışı bırakma ve çalışma dizinlerini /etc/cron.d olarak değiştirme gibi REDIS yapılandırmalarını manipüle eder, varlığının izlerini silerek cron-scheduled yürütme yoluyla kalıcılığı sağlarken, varlığının izlerini siler. del t.

Sunucu sömürüsünün ötesinde, kampanyanın altyapısı, Güney Koreli bir web sunucusunda bir tarayıcı içi Monero madencisine ev sahipliği yapıyor ve hem doğrudan enfeksiyonlardan hem de web tabanlı madencilikten yararlanan daha geniş bir para kazanma stratejisi ortaya koyuyor ve tehdit aktör için gelir potansiyelini önemli ölçüde artırıyor.

Bu çok yönlü yaklaşım, güvenli Redis örnekleri üzerinde sert kodlanmış kimlik bilgileriyle kimlik doğrulamayı deneyen ve hızlı tarama ve sömürü için eşzamanlı goroutinleri kullanan saldırganın operasyonel olgunluğunun altını çizmektedir.

Birincil yük, httpbin üzerinden ağ bağlantısını test eder[.]Org, yayılma döngüsüne devam etmeden önce, sürekli yayılmayı sağlayarak.

Defenders, Redisraider’in çalışma zamanının açılmasından kısa ömürlü veritabanı girişlerine kadar değişen katmanlı savunma kaçakçılığının, Entside sonrası analizi karmaşıklaştırdığı için zorlu bir zorlukla karşı karşıya.

Rapora göre, Datadog, yapılandırma komutunu devre dışı bırakma, güçlü kimlik doğrulaması uygulamak, kamuya dönük hizmetlere erişimi kısıtlamak ve ağ kamu hizmeti yürütme veya cron iş modifikasyonları gibi işleme sonrası faaliyetleri tespit etmek için iş yükü koruması gibi sürekli izleme araçlarının dağıtılması da dahil olmak üzere, REDIS üzerindeki korumalı modun etkinleştirilmesi de dahil olmak üzere güçlü karşı önlemler önermektedir.

Redisraider’in örneklediği gibi, kriptajlama fırsatçıdan hesaplanmış, kritik altyapıyı korumak için artan uyanıklığa dönüştü.

Uzlaşma Göstergeleri (IOC)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!