Decenas de servidores Redis infestados por sofisticado malware creado a medida

Un actor de amenazas desconocido ha estado minando silenciosamente la criptomoneda Monero en servidores Redis de código abierto en todo el mundo durante años, utilizando una variante de malware personalizada que es prácticamente indetectable por las herramientas antivirus convencionales y sin agentes.

Desde septiembre de 2021, el actor de amenazas ha comprometido al menos 1,200 servidores Redis, que miles de organizaciones, en su mayoría más pequeñas, utilizan como base de datos o caché, y ha tomado el control total sobre ellos. Los investigadores de Aqua Nautilus, que detectaron la campaña cuando un ataque golpeó uno de sus honeypots, están rastreando el malware como "HeadCrab".

Malware residente en memoria sofisticado

En una publicación de blog esta semana, el proveedor de seguridad describió a HeadCrab como un malware residente en la memoria que representa una amenaza continua para los servidores Redis conectados a Internet. Muchos de estos servidores no tienen la autenticación habilitada de manera predeterminada porque están diseñados para ejecutarse en redes cerradas y seguras.

aguamarina análisis de HeadCrab mostró que el malware está diseñado para aprovechar el funcionamiento de Redis al replicar y sincronizar datos almacenados en varios nodos dentro de un clúster de Redis. El proceso implica un comando que básicamente permite a los administradores designar un servidor dentro de un clúster de Redis como "esclavo" de otro servidor "maestro" dentro del clúster. Los servidores esclavos se sincronizan con el servidor maestro y realizan una variedad de acciones, incluida la descarga de cualquier módulo que pueda estar presente en el servidor maestro. Los módulos Redis son archivos ejecutables que los administradores pueden usar para mejorar la funcionalidad de un servidor Redis.

Los investigadores de Aqua descubrieron que HeadCrab aprovechaba este proceso para cargar un criptomoneda minera en Internet-expuesto sistemas redis. Con el ataque a su honeypot, el actor de amenazas, por ejemplo, usó el comando legítimo SLAVEOF Redis para designar al Aqua honeypot como esclavo de un servidor Redis maestro controlado por el atacante. El servidor maestro luego inició un proceso de sincronización en el que el actor de amenazas descargó un módulo Redis malicioso que contenía el malware HeadCrab.

Asaf Eitani, investigador de seguridad de Aqua, dice que varias características de HeadCrab sugieren un alto grado de sofisticación y familiaridad con los entornos de Redis.

Una gran señal de eso es el uso del marco del módulo Redis como una herramienta para realizar acciones maliciosas, en este caso, descargar el malware. También es significativo el uso que hace el malware de la API de Redis para comunicarse con un servidor de comando y control (C2) controlado por el atacante alojado en lo que parecía ser un servidor legítimo pero comprometido, dice Eitani.

“El malware está diseñado específicamente para los servidores de Redis, ya que depende en gran medida del uso de la API de los módulos de Redis para comunicarse con su operador”, señala.

HeadCrab implementa funciones de ofuscación sofisticadas para permanecer oculto en sistemas comprometidos, ejecuta más de 50 acciones sin archivos y utiliza un cargador dinámico para ejecutar archivos binarios y evadir la detección. “El actor de amenazas también está modificando el comportamiento normal del servicio Redis para ocultar su presencia y evitar que otros actores de amenazas infecten el servidor con la misma configuración incorrecta que usó para lograr la ejecución”, señala Eitani. “En general, el malware es muy complejo y utiliza múltiples métodos para lograr una ventaja sobre los defensores”.

El malware está optimizado para la criptominería y parece diseñado a medida para los servidores Redis. Pero tiene opciones integradas para hacer mucho más, dice Eitani. Como ejemplos, señala la capacidad de HeadCrab para robar claves SSH para infiltrarse en otros servidores y potencialmente robar datos y también su capacidad para cargar un módulo de kernel sin archivos para comprometer completamente el kernel de un servidor.

Assaf Morag, analista líder de amenazas en Aqua, dice que la compañía no ha podido atribuir los ataques a ningún actor de amenazas conocido o grupo de actores. Pero sugiere que las organizaciones que usan servidores Redis deberían asumir una violación total si detectan HeadCrab en sus sistemas.

"Refuerce sus entornos escaneando sus archivos de configuración de Redis, asegúrese de que el servidor requiera autenticación y no permita comandos "slaveof" si no es necesario, y no exponga el servidor a Internet si no es necesario", aconseja Morag.

Morag dice que una búsqueda de Shodan mostró más de 42,000 servidores Redis conectados a Internet. De esto, unos 20,000 servidores permitieron algún tipo de acceso y pueden ser potencialmente infectados por un ataque de fuerza bruta o una vulnerabilidad, dice.

HeadCrab es el segundo malware dirigido a Redis del que Aqua ha informado en los últimos meses. En diciembre, el proveedor de seguridad descubrió Redigo, una puerta trasera de Redis escrito en el idioma Go. Al igual que con HeadCrab, Aqua descubrió el malware cuando los actores de amenazas se instalaron en un honeypot vulnerable de Redis.

“En los últimos años, los servidores de Redis han sido el objetivo de los atacantes, a menudo debido a una mala configuración y vulnerabilidades”, según la publicación del blog de Aqua. “A medida que los servidores Redis se han vuelto más populares, la frecuencia de los ataques ha aumentado”.

Redis expresó en un comunicado su apoyo a los investigadores de seguridad cibernética y dijo que quería reconocer a Aqua por enviar el informe a la comunidad de Redis. “Su informe muestra los peligros potenciales de configurar incorrectamente Redis”, dijo el comunicado. “Animamos a todos los usuarios de Redis a seguir la guía de seguridad y las mejores prácticas publicadas en nuestra documentación comercial y de código abierto”.

No hay señales de que el software Redis Enterprise o los servicios Redis Cloud se hayan visto afectados por los ataques de HeadCrab, agrega el comunicado.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/attacks-breaches/redis-servers-infested-sophisticated-custom-built-malware

Inteligencia de datos generativa

Decenas de servidores Redis infestados por malware sofisticado personalizado

Malware residente en memoria sofisticado

Las mejores 6 formas de aumentar la creatividad en el trabajo

Cómo una empresa de juegos estonia arrasó en EE. UU. – Tech Startups

Información más reciente

¿Es Reddit seguro? Edward Snowden pide a los usuarios boicotear Reddit tras el nuevo requisito de identificación; “No vuelvas a usar Reddit nunca más” – Tech Startups

CompTIA apoya los esfuerzos del Departamento de Defensa para fortalecer el conocimiento y las habilidades cibernéticas

Por qué un taxi autónomo de Waymo condujo por el lado equivocado de la carretera de San Francisco

Cinco duras verdades sobre el estado de la seguridad en la nube en 5

DIG VR se siente como un simulador PowerWash para excavación eléctrica

¿Puede el CBD ayudar con la vejiga hiperactiva?

Habla con nosotros!