Çevrim içi savunmasız Redis sunucularını yakalamak için tasarlanan yeni gizli kötü amaçlı yazılım, Monero kripto para birimi için madencilik yapan bir botnet oluşturmak üzere Eylül 2021’den bu yana binden fazla sunucuya bulaştı.
Aqua Security araştırmacıları Nitzan Yaakov ve kendisine HeadCrab adını veren Asaf Eitani tarafından keşfedilen kötü amaçlı yazılım, şimdiye kadar çevrimiçi olarak daha fazla hedef taramak için de kullanılan bu tür en az 1.200 sunucuyu tuzağa düşürdü.
Araştırmacılar, “Bu gelişmiş tehdit aktörü, çok sayıda Redis sunucusunu tehlikeye atmak için aracısız ve geleneksel anti-virüs çözümleri tarafından tespit edilemeyen son teknoloji ürünü, özel yapım bir kötü amaçlı yazılım kullanıyor” dedi.
“Yalnızca HeadCrab kötü amaçlı yazılımını değil, aynı zamanda Redis sunucularındaki bulaşmalarını tespit etmek için benzersiz bir yöntem keşfettik. Yöntemimiz, vahşi ortamda açığa çıkan sunuculara uygulandığında yaklaşık 1.200 aktif olarak virüs bulaşmış sunucu buldu.”
Bu botnet’in arkasındaki tehdit aktörleri, bir kuruluşun ağında kullanılmak üzere tasarlandıkları ve İnternet erişimine maruz kalmamaları gerektiği için Redis sunucularında kimlik doğrulamanın varsayılan olarak etkinleştirilmemiş olmasından yararlanır.
Yöneticiler bunları güvence altına almaz ve yanlışlıkla (veya kasıtlı olarak) yerel ağlarının dışından erişilebilecek şekilde yapılandırmazsa, saldırganlar kötü amaçlı araçlar veya kötü amaçlı yazılım kullanarak bunları kolayca ele geçirebilir ve ele geçirebilir.
Kimlik doğrulama gerektirmeyen sunuculara erişim sağladıktan sonra kötü niyetli aktörler, yeni ele geçirilen sisteme HeadCrab kötü amaçlı yazılımını dağıtmak üzere kontrolleri altındaki bir ana sunucuyu senkronize etmek için bir ‘SLAVEOF’ komutu verir.
HeadCrab, kurulduktan ve başlatıldıktan sonra, saldırganlara hedeflenen sunucunun tam kontrolünü ele geçirmek ve onu kripto madenciliği botnet’lerine eklemek için gereken tüm yetenekleri sağlar.
Ayrıca, kötü amaçlı yazılımdan koruma taramalarını atlamak için güvenliği ihlal edilmiş cihazlarda bellekte çalışacak ve Aqua Security tarafından analiz edilen örnekler VirusTotal’da hiçbir algılama göstermedi.
Ayrıca tüm günlükleri siler ve tespit edilmekten kaçınmak için yalnızca yöneticileri tarafından kontrol edilen diğer sunucularla iletişim kurar.
Araştırmacılar, “Saldırgan, tespit edilmekten kaçınmak ve güvenlik çözümleri tarafından kara listeye alınma olasılığını azaltmak için, başta diğer virüslü sunucular olmak üzere meşru IP adresleriyle iletişim kurar” diye ekledi.
“Kötü amaçlı yazılım, birincil olarak, kötü amaçlı olarak işaretlenmesi pek olası olmayan Redis işlemlerine dayalıdır. Yükler memfd, yalnızca bellek dosyaları aracılığıyla yüklenir ve çekirdek modülleri doğrudan bellekten yüklenerek disk yazma işlemleri önlenir.”
Kötü amaçlı yazılımı analiz ederken, saldırganların ilişkilendirmeyi ve algılamayı karmaşık hale getirmek için çoğunlukla daha önce güvenliği ihlal edilmiş sunucularda barındırılan madencilik havuzlarını kullandığını da keşfettiler.
Ayrıca, bu botnet’e bağlı Monero cüzdanı, saldırganların işçi başına tahmini yıllık yaklaşık 4.500 ABD Doları kar elde ettiğini gösterdi; bu, benzer operasyonların işçi başına yaptığı olağan 200 ABD Dolarından çok daha yüksek.
Redis sunucularını savunmak için yöneticilere yalnızca kendi ağlarındaki istemcilerin bunlara erişebildiğinden emin olmaları, “slaveof” özelliğini kullanılmıyorsa devre dışı bırakmaları ve örneği yalnızca geri döngü adresine yanıt verecek ve reddedecek şekilde yapılandıran korumalı modu etkinleştirmeleri önerilir. diğer IP adreslerinden bağlantılar.