Zephyrnet-logo

Tientallen Redis-servers geïnfecteerd door geavanceerde, op maat gemaakte malware

Datum:

Een onbekende bedreigingsactor is al jaren stilletjes Monero-cryptocurrency aan het delven op open source Redis-servers over de hele wereld, met behulp van een op maat gemaakte malwarevariant die vrijwel niet kan worden opgespoord door agentless en conventionele antivirusprogramma's.

Sinds september 2021 heeft de bedreigingsactor minstens 1,200 Redis-servers gecompromitteerd – die duizenden, meestal kleinere organisaties gebruiken als database of cache – en de volledige controle over hen overgenomen. Onderzoekers van Aqua Nautilus, die de campagne zagen toen een aanval een van zijn honeypots trof, volgen de malware als 'HeadCrab'.

Geavanceerde, Memory-Resident Malware

In een blogpost deze week beschreef de beveiligingsleverancier HeadCrab als geheugenresidente malware die een voortdurende bedreiging vormt voor op internet aangesloten Redis-servers. Veel van deze servers hebben standaard geen authenticatie ingeschakeld omdat ze bedoeld zijn om op veilige, gesloten netwerken te draaien.

Aqua's analyse van HeadCrab toonde aan dat de malware is ontworpen om te profiteren van hoe Redis werkt bij het repliceren en synchroniseren van gegevens die zijn opgeslagen op meerdere knooppunten binnen een Redis-cluster. Het proces omvat een opdracht waarmee beheerders in feite een server binnen een Redis-cluster kunnen aanwijzen als een "slaaf" van een andere "master"-server binnen de cluster. Slave-servers synchroniseren met de master-server en voeren verschillende acties uit, waaronder het downloaden van eventuele modules die op de master-server aanwezig kunnen zijn. Redis-modules zijn uitvoerbare bestanden die beheerders kunnen gebruiken om de functionaliteit van een Redis-server te verbeteren.

De onderzoekers van Aqua ontdekten dat HeadCrab dit proces gebruikte om een cryptocurrency mijnwerker op internet blootgesteld Redis-systemen. Bij de aanval op zijn honeypot gebruikte de bedreigingsactor bijvoorbeeld het legitieme SLAVEOF Redis-commando om de Aqua-honeypot aan te wijzen als de slaaf van een door een aanvaller bestuurde master Redis-server. De hoofdserver startte vervolgens een synchronisatieproces waarbij de bedreigingsactor een kwaadaardige Redis-module downloadde die de HeadCrab-malware bevatte.

Asaf Eitani, beveiligingsonderzoeker bij Aqua, zegt dat verschillende kenmerken van HeadCrab wijzen op een hoge mate van verfijning en vertrouwdheid met Redis-omgevingen.

Een groot teken daarvan is het gebruik van het Redis-moduleframework als hulpmiddel om kwaadaardige acties uit te voeren, in dit geval het downloaden van de malware. Ook belangrijk is het gebruik van de Redis API door de malware om te communiceren met een door een aanvaller bestuurde command-and-control-server (C2) die wordt gehost op wat een legitieme maar gecompromitteerde server lijkt te zijn, zegt Eitani. 

"De malware is speciaal gebouwd voor Redis-servers, omdat het sterk afhankelijk is van het gebruik van de API van Redis Modules om met de operator te communiceren", merkt hij op.

HeadCrab implementeert geavanceerde verduisteringsfuncties om verborgen te blijven op gecompromitteerde systemen, voert meer dan 50 acties uit op een volledig bestandsloze manier en gebruikt een dynamische lader om binaire bestanden uit te voeren en detectie te omzeilen. "De dreigingsactor past ook het normale gedrag van de Redis-service aan om de aanwezigheid ervan te verdoezelen en om te voorkomen dat andere dreigingsactoren de server infecteren met dezelfde verkeerde configuratie die hij gebruikte om executie te krijgen", merkt Eitani op. "Over het algemeen is de malware erg complex en gebruikt hij meerdere methoden om verdedigers een voorsprong te geven."

De malware is geoptimaliseerd voor cryptomining en lijkt speciaal ontworpen voor Redis-servers. Maar het heeft ingebouwde opties om veel meer te doen, zegt Eitani. Als voorbeelden wijst hij op het vermogen van HeadCrab om SSH-sleutels te stelen om andere servers te infiltreren en mogelijk gegevens te stelen, en ook op het vermogen om een ​​bestandsloze kernelmodule te laden om de kernel van een server volledig in gevaar te brengen.

Assaf Morag, dreigingsanalist bij Aqua, zegt dat het bedrijf de aanvallen niet heeft kunnen toeschrijven aan een bekende dreigingsacteur of groep van actoren. Maar hij stelt voor dat organisaties die Redis-servers gebruiken, ervan uit moeten gaan dat er sprake is van een volledige inbreuk als ze HeadCrab op hun systemen detecteren.

"Beveilig uw omgevingen door uw Redis-configuratiebestanden te scannen, zorg ervoor dat de server authenticatie vereist en geen "slaveof"-opdrachten toestaat als dat niet nodig is, en stel de server niet bloot aan internet als dat niet nodig is", adviseert Morag.

Morag zegt dat een Shodan-zoekopdracht meer dan 42,000 Redis-servers aantoonde die met internet waren verbonden. Hiervan hebben zo'n 20,000 servers een vorm van toegang toegestaan ​​en kunnen mogelijk worden geïnfecteerd door een brute-force-aanval of misbruik van kwetsbaarheden, zegt hij.

HeadCrab is de tweede op Redis gerichte malware die Aqua de afgelopen maanden heeft gemeld. In december ontdekte de beveiligingsverkoper Redigo, een Redis-achterdeur geschreven in de Go-taal. Net als bij HeadCrab ontdekte Aqua de malware toen bedreigingsactoren zich op een kwetsbare Redis-honeypot installeerden.

"In de afgelopen jaren zijn Redis-servers het doelwit geweest van aanvallers, vaak door verkeerde configuratie en kwetsbaarheden", aldus Aqua's blogpost. "Naarmate Redis-servers populairder zijn geworden, is de frequentie van aanvallen toegenomen."

Redis sprak in een verklaring zijn steun uit voor cyberbeveiligingsonderzoekers en zei dat het Aqua wilde erkennen voor het verspreiden van het rapport naar de Redis-gemeenschap. "Hun rapport toont de potentiële gevaren van het verkeerd configureren van Redis", aldus de verklaring. "We moedigen alle Redis-gebruikers aan om de beveiligingsrichtlijnen en best practices te volgen die zijn gepubliceerd in onze open source en commerciële documentatie."

Er zijn geen tekenen dat Redis Enterprise-software of Redis Cloud-services zijn getroffen door de HeadCrab-aanvallen, aldus de verklaring.

spot_img

Laatste intelligentie

spot_img