Yeni “Migo” kötü amaçlı yazılımı Linux sunucularını hedef alıyor ve Redis’i kripto hırsızlığı için kullanıyor. Kullanıcı modu rootkit’i kullanmak, etkinliğini gizleyerek tespit edilmesini zorlaştırır. Redis sunucularınızı güvence altına alın ve tetikte olun!
Gelişmiş bir Linux kötü amaçlı yazılım kampanyası keşfedildi Redis’i hedeflemeCado Security Labs, popüler bir veri depolama sistemi olan “Sistem Zayıflatma Komutlarını” kullanarak ilk erişim elde edilebileceğini ortaya çıkardı.
Cado araştırmacıları, Migo adlı kötü amaçlı yazılımın Redis’ten yararlandığını açıkladı. kripto hırsızlığı. Saldırganlar, yükü dağıtmadan önce yapılandırma seçeneklerini devre dışı bırakmak ve onları savunmasız hale getirmek için hedeflerinin Redis sunucularında komutlar yürütür.
Birincil yük olan Migo, bir Golang ELF ikili dosyasıdır ve XMRig yükleyicisi GitHub’dan. Redis sistem zayıflatma komutları, CLI komutlarını kullanarak korumalı mod ve salt okunur kopya gibi yapılandırma seçeneklerini devre dışı bırakmak için kullanılır. Yapıştır kutusu arka planda kripto para birimi madenciliği yapmak için.
Bilginize, Korumalı mod, olası ağ risklerini azaltmak için 3.2.0 sürümünde tanıtılan bir Redis sunucusu işletim modudur. Yalnızca geri döngü arayüzünden gelen bağlantıları kabul eder ve saldırganların ek komutlar göndermesine izin vermek için muhtemelen ilk erişimde devre dışı bırakılır.
Bunun tersine, Redis’teki kopya salt okunur özelliği, kopyalara senkronizasyonun bozulmasına yol açabilecek kazara yazma işlemlerini önler. Cado araştırmacıları, bu özelliğin kötü amaçlı yük dağıtımı amacıyla kullanıldığını ve Migo saldırganlarının gelecekte Redis sunucusundan yararlanmak için bu özelliği devre dışı bırakacağını bildiriyor.
Migo, işlemleri ve eserleri gizlemek için derleme zamanı gizleme ve kullanıcı modu ‘libprocesshider’ kök setini kullanır, bu da güvenlik analistlerinin tehdidi tespit etmesini ve azaltmasını zorlaştırır. Madenci kurulduktan sonra Migo, oturum açmış kullanıcılar ve kaynak sınırları da dahil olmak üzere sistem bilgilerini sorgulamak için XMRig’in yapılandırmasını ayarlar.
“Ayrıca vm.nr_hugepages parametresini kullanarak sistemdeki mevcut Büyük Sayfaların sayısını 128 olarak ayarlıyor. Cado Security’nin güvenlik araştırmacısı Matt Muir, bu eylemlerin kötü amaçlı yazılımların kripto hırsızlığı için oldukça tipik olduğunu belirtti. Blog yazısı.
İkili dosyayı kopyalamak, SELinux’u devre dışı bırakmak, kaldırma komut dosyalarını tanımlamak, madenciyi yürütmek, rakip işlemleri sonlandırmak, kalıcılığı kaydetmek ve belirli IP adreslerine ve etki alanlarına giden trafiği önlemek için kabuk komutlarını yürütür.
Üstelik Migo, kalıcılık için sistemd hizmetine ve zamanlayıcıya güveniyor ve geliştiriciler, kötü amaçlı yazılım analiz sürecini karmaşıklaştırmak için pclntab yapısındaki sembolleri ve dizeleri gizlemiş durumda. Kullanıcı modu rootkit’inin dahil olması, güvenliği ihlal edilmiş ana bilgisayarların olay sonrası adli incelemesini de karmaşık hale getirir ve libprocesshider, diskteki eserleri gizler.
Migo’nun ortaya çıkışı, bulut odaklı saldırganların sürekli olarak tekniklerini geliştirdiklerini ve web’e yönelik hizmetlerden yararlanmaya odaklandıklarını gösteriyor. Araştırmacılar, güvenlik özelliklerini devre dışı bırakmak için Redis’in sistem zayıflatma komutlarını kullandıklarını, bunun daha önce Redis’i ilk erişim için kullanan kampanyalarda bildirilmeyen bir hareket olduğu sonucuna vardılar.
İLGİLİ MAKALELER
- Mirai botnet ve DYN DDoS saldırılarının arkasındaki hackerlar suçunu kabul etti
- FBI ile çalıştıkları için hapisten kaçınmak için Mirai botnet’in arkasındaki bilgisayar korsanları
- Minik Mantis Botnet, Mirai’den Daha Güçlü DDoS Saldırıları Başlatabilir
- Reaper kötü amaçlı yazılımı Mirai’yi gölgede bırakıyor; dünya çapında milyonlarca IoT cihazını etkiliyor
- Mirai Variant ‘OMG’ IoT Cihazlarını Kripto Madencilik için Proxy Sunucularına Dönüştürüyor