驚現(xiàn)RedisWannaMine:IMPERVA發(fā)現(xiàn)新型針對(duì)Redis與NSA漏洞的Cryptojacking攻擊
2018.03.20
----轉(zhuǎn) IMPERVA
Imperva在上周為我們揭露了一種被命名為“RedisWannaMine”的新型加密貨幣挖礦攻擊�����,它將數(shù)據(jù)庫(kù)服務(wù)器以及應(yīng)用程序服務(wù)器作為攻擊對(duì)象�。
近期�,出現(xiàn)了大量的cryptojacking(挖礦攻擊)攻擊�����。據(jù)Imperva記載����,該攻擊主要針對(duì)Web Applications,且近90%都采用遠(yuǎn)程代碼執(zhí)行攻擊���。迄今為止����,我們所經(jīng)歷過(guò)的各類攻擊的復(fù)雜性與能力都很有限�。之前出現(xiàn)的包含有惡意代碼的攻擊會(huì)下載一個(gè)cryptominer可執(zhí)行文件,但一般只有基本的逃避技術(shù)��,甚至根本沒(méi)有逃避技術(shù)���。
Imperva發(fā)現(xiàn)出現(xiàn)了一種新型cryptojacking攻擊�����,主要針對(duì)數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器��。我們將其中一種攻擊命名為RedisWannaMine���。
RedisWannaMine是一種擁有較復(fù)雜逃避技術(shù)與攻擊能力的病毒�����,似蠕蟲(chóng)般活動(dòng)��,擁有先進(jìn)的攻擊技術(shù),會(huì)提高攻擊者的病毒感染率�����。
利用CVE-2017-9805運(yùn)行shell命令
投下RedisWannaMine
運(yùn)行crypto miner
掃描易受攻擊的Redis服務(wù)器
投下RedisWannaMine
掃描易受攻擊的Windows SMB服務(wù)器
利用enternalBlue���,投入一個(gè)crypto miner
因此�����,Cryptojacking攻擊力度再升級(jí)��!
Cryptojacking2.0 / RedisWannaMine
Imperva部署了一系列傳感器負(fù)責(zé)收集安全情報(bào)����。這些傳感器都部署在公共訪問(wèn)的數(shù)據(jù)庫(kù)與網(wǎng)絡(luò)服務(wù)器上。Imperva的Web Application傳感器還捕捉到一個(gè)有意思的遠(yuǎn)程代碼執(zhí)行(RCE)攻擊��,當(dāng)時(shí)它正試圖下載一個(gè)外部源�,而我們則順藤摸瓜的找到了遠(yuǎn)程主機(jī),獲取了進(jìn)一步安全信息�����。Imperva發(fā)現(xiàn)它試圖利用CVE-2017-9805的攻擊向量:
在探查其遠(yuǎn)程服務(wù)器時(shí)��,發(fā)現(xiàn)了下列可疑文件:
這份文件表中包括有已知的惡意文件����,如:“minerd”,但還有許多未知可疑文件��,如:“transfer.sh”��。
在將“transfer.sh”提交給Virus Total后�����,發(fā)現(xiàn)了新發(fā)現(xiàn)的病毒,也是2018年3月5日曾首次發(fā)布且僅被10個(gè)防病毒引擎探測(cè)到過(guò)的惡意文件��。
這份shell腳本文件是一個(gè)下載程序��,功能與我們所知的舊版cryptojacking下載器類似:
? 會(huì)從外部源下載一個(gè)crypto miner惡意程序���;
? 利用crontab中的新條目永久的存在于機(jī)器中�;
? 通過(guò)/root/.ssh/authorized_keys and new entries in the system’s iptables中新的ssh密鑰條目�,遠(yuǎn)程訪問(wèn)機(jī)器;
但與常見(jiàn)的下載程序不同的是���,該下載程序擁有下列新功能:
自足性
該腳本會(huì)利用Linux的標(biāo)準(zhǔn)包管理器�,如:“apt”及“yum”安裝各類包�,確保其能夠自給自足,無(wú)需再依賴受害人設(shè)備的本地程序庫(kù)��。目前我們探測(cè)到的安裝程序包包括:git, python, redis-tools, wget, gcc及 make����。
Github集成
這個(gè)腳本會(huì)從Github資源庫(kù)中下載一個(gè)公用工具masscan�����,對(duì)其進(jìn)行編輯與安裝��。
https://github.com/robertdavidgraham/masscan將其稱為“TCP端口掃描器��,可異步生成最多的SYN數(shù)據(jù)包����,并在5分鐘之內(nèi)掃描整個(gè)互聯(lián)網(wǎng)”。
此外��,還提供了簡(jiǎn)單的用法示例:
掃描與感染Redis
該腳本隨后還會(huì)啟動(dòng)另外一個(gè)名為“redisscan.sh”的程序。該程序利用前述masscan工具��,找到并感染公共Redis服務(wù)器�。同時(shí)創(chuàng)建了一大批內(nèi)外IP,同時(shí)掃描6379端口(Redis的默認(rèn)端口)�����。
在其創(chuàng)建的IP中�,只要有一個(gè)是可公共獲取的IP�����,則腳本就會(huì)啟動(dòng)“redisrun.sh”程序,將其植入部署有相同crypto miner惡意軟件(“transfer.sh””)的設(shè)備��。通過(guò)之前安裝的下載程序redis-cli命令行工具運(yùn)行“runcmd”�����,即可成功感染設(shè)備����。
“runcmd”是一個(gè)10行的Redis命令腳本,可在Redis服務(wù)器的crontab目錄中創(chuàng)建新條目�,植入服務(wù)器,并永久的留存下來(lái)��,以防止有人注意到并刪除惡意軟件�����。
我們還發(fā)現(xiàn),攻擊者還會(huì)利用各關(guān)鍵值開(kāi)頭及末尾的換行符“\n”��。如果在Redis服務(wù)器上運(yùn)行這些命令����,則會(huì)創(chuàng)建一個(gè)文件�,內(nèi)容如下:
掃描與感染SMB
該腳本掃描了Redis后�����,又啟動(dòng)另一個(gè)名為“ebscan.sh”的掃描程序�。此時(shí),新程序利用masscan工具發(fā)現(xiàn)并感染了易受攻擊的SMB版公用Windows服務(wù)器�。這一過(guò)程主要是通過(guò)創(chuàng)建的一大批內(nèi)外部IP,并對(duì)SMB默認(rèn)的端口445進(jìn)行掃描實(shí)現(xiàn)的����。
之所以掃描的SMB漏洞是因?yàn)镹SA要利用其制作臭名昭著的“Eternal Blue”病毒,然后再利用該病毒執(zhí)行全球最大型的網(wǎng)絡(luò)攻擊“WannaCry”���。
當(dāng)腳本找到一個(gè)有漏洞的服務(wù)器時(shí)��,會(huì)啟動(dòng)“ebrun.sh”并將其感染�。
“ebrun.sh“在前述“Eternal Blue”漏洞中運(yùn)行Python����,然后再向有漏洞的設(shè)備投入“x64.bin“文件。
我們利用strings命令打印了文件中可打印字符的所有字串����,并發(fā)現(xiàn)了一個(gè)能夠創(chuàng)建惡意VBScript的文件��,名為“poc.vbs”����。
運(yùn)行該文件后發(fā)現(xiàn)�����,“poc.vbs”會(huì)下載一個(gè)可執(zhí)行文件��,并在外部運(yùn)行該文件��,即:以“admissioninit.exe”的形式留存在易受攻擊的服務(wù)器中����,并運(yùn)行。而admissioninit.exe就是那個(gè)大名鼎鼎的crypto miner惡意軟件�。
該如何應(yīng)對(duì)這種攻擊呢?
保護(hù)web applications與數(shù)據(jù)庫(kù)���。初始攻擊都是通過(guò)web applications漏洞進(jìn)入的����。因此需要使用打過(guò)補(bǔ)丁的應(yīng)用���,或受WAF保護(hù)的應(yīng)用程序就安全了�。
請(qǐng)不要將Redis服務(wù)器設(shè)置為公共可用��。這個(gè)只要用簡(jiǎn)單的防火墻規(guī)則設(shè)置即可��。
請(qǐng)不要使用易受攻擊的SMB版本設(shè)備�。
