Uzun yıllardır, güvenli olmayan internete bakan Redis sunucuları, suçlular tarafından kripto para madenciliği yapmak için sürekli olarak tercih ediliyor, bu nedenle Cado Labs araştırmacısı tarafından tespit edilen en son cryptojacking kampanyası haber olarak kabul edilemez. Ancak unsurlarından biri yeni bir eğilime işaret ediyor: Saldırganlar (meşru) transfer.sh kötü amaçlı kod barındırma hizmeti.
Telemetrilerinin, 2023’ün başından bu yana hizmetin kötü niyetli kullanımında bir artış gösterdiğini söylüyorlar ve kuruluşların savunucularına bunun için tespitler uygulamalarını tavsiye ediyorlar.
Cryptojacking kampanyası
Redis, dağıtılmış, bellek içi veritabanı, önbellek ve mesaj aracısı olarak kullanılan popüler bir açık kaynaklı veri yapısı deposudur.
Redis sunucularına yalnızca güvenilir ortamlardaki güvenilir istemciler tarafından erişilmesi amaçlanmıştır, ancak ne yazık ki, genellikle çevrimiçi olarak açığa çıkarlar ve saldırganlar bunu bilir.
Araştırmacılar tarafından tespit edilen devam eden cryptojacking kampanyası oldukça sıradan: Saldırganlar, kimlik doğrulaması yapılandırılmamış, internete açık Redis API uç noktaları buluyor ve redis-cli komut satırı aracını kullanarak veri deposuna uzaktan bağlanmak için bu güvenlik deliğini kullanıyor.
“Bu kampanya için ilk erişim, güvenli olmayan bir Redis dağıtımından yararlanılarak, veri deposuna bir cron işi yazarak ve Redis’i veritabanı dosyasını cron dizinlerinden birine kaydetmeye zorlayarak sağlandı. Cron zamanlayıcı dizindeki dosyaları okuduğunda, veritabanı dosyası bir cron işi olarak okunur ve ayrıştırılır, bu da rasgele komut yürütülmesine neden olur” dediler.
“Redis, her iki dakikada bir yürütülen basit bir cron işini kaydetmek için kullanılıyor ve https://transfer’de bir yükü almak için sessizce bir cURL komutu çalıştırıyor.[.]sh/QQcudu/tmp[.]fDGJW8BfMC. Bu dosya şu şekilde kaydedilir: .cmd ve bash ile idam edildi.”
Alınan komut dosyası, SELinux çekirdek güvenlik modülünü devre dışı bırakmak, belleği görev için RAM’i boşaltacak şekilde yapılandırmak, rakip madencilik yazılımını “öldürmek” ve günlük dosyalarını temizlemek gibi eylemler gerçekleştirerek hedef makineyi gizli kripto madenciliği için hazırlar.
Son olarak, GitHub’dan XMRig (kriptolama yazılımı) ve pnscan (ağ/bağlantı noktası tarayıcı) ikili dosyalarını alır. Pnscan genellikle savunmasız Redis sunucularını bulmak ve betiğin bir kopyasını onlara yaymak için kullanılır ve bu durumda tüm bu süreç otomatiktir.
transfer.sh kullanımı
Cado Security’de Tehdit İstihbaratı Araştırmacısı Matt Muir, Help Net Security’ye Redis sunucuları olan kuruluşların böyle bir uzlaşmadan sonra kripto para madenciliğine başladığı kuruluşların bunu tespit edip etmeyeceği hedef sisteme ve ne kadar izlemenin etkinleştirildiğine bağlı.
“Ana bilgisayar yapılandırmasının çoğu, denetim arka plan programı günlüklerinde görünür, ancak bunlar varsayılan olarak etkin değildir. SELinux etkileşimi görünür /var/log/avc.log (bazı dağıtımlar için). yapılandırması drop_caches oturum açılacaktır /var/log/mesajlar veya /var/log/syslog ana bilgisayar ayarlarına bağlı olarak,” diye açıkladı.
Ancak, daha genel olarak, kuruluşların, saldırganların kötü amaçlı kod barındırmak için artan transfer.sh kullanımının farkında olmaları gerekir.
“transfer.sh’ye geçişe neyin yol açtığı belli değil. Diğer yaygın kod barındırma etki alanlarına (pastebin.com gibi) dayalı tespitlerden kaçınma girişimi olabilir. Aynı şekilde, benzer hizmetler kötü amaçlı kodları kaldırmak için ek önlemler uygulamış olabilir,” dedi Cado Security araştırmacıları ve transfer.sh’nin “komut satırı etkileşimine yaptığı vurgunun onu kötü amaçlı yükleri barındırmak ve dağıtmak için mükemmel bir aday haline getirdiğine” dikkat çekti.
Bu nedenle, Muir’e göre, şu anda diğer şüpheli dosya barındırma alanlarına (örn. pastebin.com) yönelik trafik için ağ tabanlı bir algılamanız varsa, bu algılamayı transfer.sh alanıyla tamamlamanız gerekir.