Yaratıcılar tarafından Migo olarak adlandırılan kötü amaçlı yazılım, Linux ana bilgisayarında kripto para madenciliği yapmak için Redis sunucularına sızmaya çalışıyor.
Kampanya, ilk erişim girişimlerini engelleyebilecek veri deposu güvenlik özelliklerini potansiyel olarak devre dışı bırakmak için birçok Redis sistemi zayıflatma komutunu kullandı.
Ayrıca kampanya, Redis’e kripto hırsızlığı saldırısı gerçekleştirmek için bu komutları kullanıyor.
Redis, “Uzak Sözlük Sunucusu”, tamamen bellekte çalışan ve çoğunlukla hızlı yanıt veritabanı veya uygulama önbelleği olarak kullanılan açık kaynaklı bir NoSQL anahtar/değer deposudur.
Redis, verileri disk veya katı hal sürücüsü (SSD) yerine bellekte tuttuğu için benzersiz hız, güvenilirlik ve performans sunar.
Sistem Zayıflatma Teknikleri
Redis’in bal küpüne yönelik tuhaf komutlar fark edildiğinde, Cado araştırmacıları ilk olarak Migo kampanyasından haberdar oldu.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
Saldırganlar, Redis komut satırı arayüzünün (CLI) yapılandırma ayarlama özelliğini kullanarak aşağıdaki yapılandırma seçeneklerini devre dışı bıraktı.
- korumalı modu ayarla
- çoğaltma salt okunur
- aof-yeniden yazma-artımlı-fsync
- rdb-save-artımlı-fsync
Redis sunucusu, kullanıcıların istemeden sunucuyu harici ağlara maruz bırakma riskini azaltmayı amaçlayan “korumalı mod” adı verilen bir çalışma moduna sahiptir.
Saldırganların İnternet üzerinden Redis sunucusuna daha fazla komut gönderebilmesini sağlamak için bu seçeneğin ilk erişim aşamasında kapatılmış olması mümkündür.
Salt okunur kopya özelliği, Redis kopyalarına (ana Redis örneğinin mükemmel kopyaları) herhangi bir yazılı komutu reddetme talimatı verir.
Migo saldırganları muhtemelen gelecekte Redis sunucusundan yararlanmayı kolaylaştırmak için bu özelliği devre dışı bırakıyor.
Bu arada, yalnızca eklemeli dosya yeniden yazma işlemleri, aof-rewrite-incremental-fsync devre dışı bırakılırsa artan IO talebiyle karşılaşabilir.
RDB anlık görüntü kayıtları sırasında, rdb-save-incremental-fsync devre dışı bırakılırsa performans düşebilir.
“Bu yapılandırma parametrelerini devre dışı bıraktıktan sonra saldırgan, iki Redis anahtarının değerlerini ayarlamak için set komutunu kullanıyor”.
Bir anahtara, kötü niyetli saldırgan tarafından kontrol edilen bir SSH anahtarına karşılık gelen bir dize değeri atanır ve diğeri, kötü niyetli birincil veriyi Pastebin aracılığıyla Transfer.sh’den alan bir Cron işine atanır”, Cado araştırmacıları GBhackers on Security ile paylaştı.
X86_64 mimarisi için Go kodundan derlenen Migo birincil yükü (/tmp/.migo), statik olarak bağlantılı ve çıkarılmış UPX paketli bir ELF olarak sağlanır.
Migo, XMRig yükleyicisini tar.gz formatında doğrudan Github’un CDN’sinden alır.
Kötü amaçlı yazılım, madenci kurulduktan ve bir XMRig yapılandırma seti belirlendikten sonra oturum açmış kullanıcı sayısı (w ikili dosyası aracılığıyla) ve kullanıcı kaynağı kısıtlamaları gibi çeşitli sistem parametrelerini sorgular.
Cryptojacking kötü amaçlı yazılımları genellikle bu şekilde davranır.
Araştırmacılar, Migo’nun ana yükünün, daha önceki kampanyalarda olduğu gibi bir dizi kabuk komut dosyası yerine Go ile oluşturulan derlenmiş bir ikili dosya olduğunu söylüyor; bu da Migo’nun arkasındaki kişilerin hâlâ yöntemlerini geliştirdiklerini ve analiz sürecini daha da zorlaştırdıklarını gösteriyor.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.