Το αυτοαναπαραγόμενο κακόβουλο λογισμικό τύπου worm μολύνει τον εκτεθειμένο χώρο αποθήκευσης δεδομένων Redis που χρησιμοποιείται για ζωντανή ροή

Ερευνητές στο Cado Security Labs

εντόπισε μια καμπάνια κακόβουλου λογισμικού με το όνομα P2Pinfect που επιτίθεται σε καταστήματα δεδομένων Redis. Σε σημερινό δελτίο τύπου, ο Cado, ένας πάροχος εγκληματολογίας cloud και πρώτης απάντησης με έδρα το Ηνωμένο Βασίλειο, συνοψίζει τις δυνατότητες του ιού, το ωφέλιμο φορτίο του και τη μέθοδο επίθεσής του.

Το Redis (Remote Dictionary Server) είναι μια πολυτροπική βάση δεδομένων στη μνήμη που είναι δημοφιλής για την καθυστέρηση του δευτερολέπτου, με την έννοια της κρυφής μνήμης να είναι μια ανθεκτική αποθήκευση δεδομένων. Αυτή η βάση δεδομένων ανοιχτού κώδικα NoSQL είναι πιο δημοφιλής με περιπτώσεις χρήσης ζωντανής ροής και γρήγορης απόκρισης σε εταιρείες όπως το Twitter, το GitHub, το Snapchat, το Craigslist και το StackOverflow.

Το P2Pinfect είναι ένα κακόβουλο λογισμικό botnet agent γραμμένο σε RUST με τις ακόλουθες δυνατότητες:

• Επιχειρεί πολλαπλές εκμεταλλεύσεις Redis για αρχική πρόσβαση
• Χρησιμοποιεί το Rust για την ανάπτυξη ωφέλιμου φορτίου, κάνοντας την ανάλυση δύσκολη
• Χρησιμοποιεί πολλαπλές τεχνικές αποφυγής για να εμποδίσει τη δυναμική ανάλυση
• Πραγματοποιεί σάρωση στο Διαδίκτυο για διακομιστές Redis και SSH
• Αυτοαντιγραφή με τρόπο που μοιάζει με σκουλήκι

Οι ερευνητές του Unit42 αντιμετώπισαν προηγουμένως τον ιό που μολύνει διακομιστές Windows και Linux. Στα ευρήματά τους, από 307.000 μοναδικά συστήματα Redis, τουλάχιστον 934 μπορεί να είναι ευάλωτα σε αυτό

CVE-2022-0543

παραλλαγή τύπου worm peer-to-peer.

Η Cado Security χρησιμοποιεί τηλεμετρία honeypot, μια τεχνική στρατιωτικής κατασκοπείας, για να κλέψει μυστικά του εχθρού δολώνοντας και παγιδεύοντας στόχους. Οι ερευνητές δημιούργησαν περιπτώσεις αποθήκευσης δεδομένων Redis, που διακυβεύτηκε από το κακόβουλο λογισμικό P2Pinfect μόλις εκτεθεί.

Δημιούργησε ένα κακόβουλο παράδειγμα για να ενεργοποιήσει την αναπαραγωγή και έγινε μέρος του δικτύου διανομής. Είναι ένα τυπικό μοτίβο επίθεσης ενάντια στην τοπολογία Redis αρχηγού/ακόλουθου.

Το σημείο σύνδεσης με το δίκτυο γίνεται μέσω της έκδοσης της εντολής «SLAVEOF». Μόλις παραβιαστεί, οι εισβολείς μπορούν να φορτώσουν ένα κακόβουλο αρχείο κοινόχρηστου αντικειμένου Linus για να επεκτείνουν τις λειτουργίες του χώρου αποθήκευσης δεδομένων. Το παρακάτω στιγμιότυπο οθόνης δείχνει πώς χρησιμοποιείται η εντολή για την απόκτηση αρχικής πρόσβασης.

Μετά την απόκτηση πρόσβασης, η εντολή “MODULE LOAD” χρησιμοποιείται από τους εισβολείς για τη φόρτωση αρχείων αντικειμένων exp.so στο δίκτυο, παρέχοντας αντίστροφη πρόσβαση φλοιού.

Το κύριο ωφέλιμο φορτίο είναι ένα ELF (Εκτέλεση και μορφή σύνδεσης) γραμμένο σε C και RUST που τελικά αποκτά πρόσβαση στον διακομιστή SSH προσθέτοντας το ακόλουθο κλειδί στο αρχείο authorized_keys για τον τρέχοντα χρήστη:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQC/2CmHl/eiVchVmng4TEPAxOnO+6R0Rb/W+zlwCR+/g3mHqsiadebQx4rd5Ru/2HnSIut2kxm9Pz4Pz4XwUqyHMY 1GtDWXwlZbW3a4FDkPB4QwyHzB62+8G2L8CaG/3v26acRef9UWO2ΙαπωνίαMAkJo0oOrFg/chMbTcrhXwhbesTnb12yhaXBS8KgF1bWkBqMEq1WLKv1 dc5P4tRVvisYj9s5pqIG/+i9AjAlpS8AEqymmYjA3xUyWc/2D1BytbHIZCn5rGlrTNM1GcB/cCTByqdOEbckBi17cOXBDKmG/NRSj17inTxl5HQFFY3XRxVRhFY32FRxV4Rh CnZevrM41Lra3WaFYNMVgmfjf78L98mAByoSI2ztwYpSksVnrtjLC7o73fLff2Ttyie7tRIkbGcm7wlUP81U6Qk+4AwuxfxRQhol9glY7JqdRmmqBWqLW0JgdRmmqwSqLW0Js 0/3YvYt+AtW0JXMMXq8KKUOWEAqbJTddKTsd0H5nvxbz+pBgeB850DcNwUm+Ko1x6zKbM4KqM8xpQDfFf139ZLsq6aW34jZJ1Vsvxbz/2HZtt du09LWf113BFNmkMYz1YUrT+1w==

Προσθέτοντας το κλειδί στη λίστα εξουσιοδοτημένων χρηστών, το κακόβουλο λογισμικό μπορεί να κάνει τις ακόλουθες λειτουργίες στο σύστημα:

• Μετονομάζει τα δυαδικά αρχεία wget και curl σε wgbtx και clbtx αντίστοιχα. Αυτό είναι πιθανώς μια προσπάθεια να εμποδίσει τους ανταποκριτές σε περιστατικά να τα χρησιμοποιήσουν για να κατεβάσουν τα εγκληματολογικά εργαλεία, καθώς και να αποτρέψουν τις λύσεις EDR από τον εντοπισμό της χρήσης της εντολής. Αυτό είναι ένα κοινό TTP για τους φορείς απειλών cloud.
• Ελέγχει για την εντολή iptables και την εγκαθιστά εάν δεν βρεθεί. Έχει πολλές εντολές ειδικά για μεμονωμένους διαχειριστές πακέτων, επομένως μπορεί να εγκατασταθεί ανεξάρτητα από τη διανομή Linux που χρησιμοποιείται.
• Ελέγχει για την εντολή awk και την εγκαθιστά εάν δεν βρεθεί. Όπως και η προηγούμενη εντολή, θα προσπαθήσει να χρησιμοποιήσει αρκετούς διαχειριστές πακέτων.
• Ελέγχει για την εντολή netstat και την εγκαθιστά εάν δεν βρεθεί. Όπως και οι προηγούμενες εντολές, θα προσπαθήσει να χρησιμοποιήσει αρκετούς διαχειριστές πακέτων.
• Χρησιμοποιεί το netstat και το awk για να συλλέξει μια λίστα με όλες τις IP που είναι συνδεδεμένες αυτήν τη στιγμή στον διακομιστή Redis που εκτελείται στον κεντρικό υπολογιστή προορισμού.
• Προσθέτει έναν κανόνα iptables για να επιτρέπεται η κυκλοφορία από καθεμία από αυτές τις IP στον διακομιστή redis.
• Προσθέτει έναν κανόνα iptables για να αρνηθεί κάθε άλλη κίνηση στον διακομιστή redis.
• Προσθέτει έναν κανόνα iptables για να επιτρέπεται όλη η κίνηση σε μια τυχαία επιλεγμένη θύρα που ακούει το κύριο ωφέλιμο φορτίο για επικοινωνίες botnet.

Αυτό το εξελιγμένο κακόβουλο λογισμικό είναι δύσκολο να εντοπιστεί για διάφορους λόγους, συμπεριλαμβανομένης της χρήσης του Rust και της ανάμειξής του με τη λειτουργία Foreign Function Interface του C, η οποία προσθέτει υψηλή πολυπλοκότητα στον κώδικα και έλλειψη εργαλείων για την ανάλυσή τους.

Η ανάλυση του Cado δεν παρατήρησε καμία δραστηριότητα παρόμοια με την εξόρυξη κρυπτονομισμάτων, κάτι που θα μπορούσε να προστεθεί καθώς το κακόβουλο λογισμικό μπορεί να ενημερωθεί για να προσθέσει περισσότερες λειτουργίες. Μπορείτε να αναγνωρίσετε έναν παραβιασμένο κεντρικό υπολογιστή με τους ακόλουθους δείκτες:

Μπορείτε να μάθετε περισσότερες σε βάθος ανάλυση συμπεριφοράς κακόβουλου λογισμικού στο

Η αναφορά του Cado Security Lab εδώ

.