驚現(xiàn)RedisWannaMine:IMPERVA發(fā)現(xiàn)新型針對Redis與NSA漏洞的Cryptojacking攻擊
2018.03.20
----轉(zhuǎn) IMPERVA
Imperva在上周為我們揭露了一種被命名為“RedisWannaMine”的新型加密貨幣挖礦攻擊���,它將數(shù)據(jù)庫服務(wù)器以及應(yīng)用程序服務(wù)器作為攻擊對象�。
近期�����,出現(xiàn)了大量的cryptojacking(挖礦攻擊)攻擊。據(jù)Imperva記載����,該攻擊主要針對Web Applications,且近90%都采用遠程代碼執(zhí)行攻擊���。迄今為止��,我們所經(jīng)歷過的各類攻擊的復雜性與能力都很有限����。之前出現(xiàn)的包含有惡意代碼的攻擊會下載一個cryptominer可執(zhí)行文件�,但一般只有基本的逃避技術(shù),甚至根本沒有逃避技術(shù)�。
Imperva發(fā)現(xiàn)出現(xiàn)了一種新型cryptojacking攻擊,主要針對數(shù)據(jù)庫服務(wù)器與應(yīng)用服務(wù)器��。我們將其中一種攻擊命名為RedisWannaMine�����。
RedisWannaMine是一種擁有較復雜逃避技術(shù)與攻擊能力的病毒�����,似蠕蟲般活動�����,擁有先進的攻擊技術(shù)����,會提高攻擊者的病毒感染率。
因此,Cryptojacking攻擊力度再升級�����!
Cryptojacking2.0 / RedisWannaMine
Imperva部署了一系列傳感器負責收集安全情報���。這些傳感器都部署在公共訪問的數(shù)據(jù)庫與網(wǎng)絡(luò)服務(wù)器上�����。Imperva的Web Application傳感器還捕捉到一個有意思的遠程代碼執(zhí)行(RCE)攻擊�,當時它正試圖下載一個外部源�����,而我們則順藤摸瓜的找到了遠程主機,獲取了進一步安全信息�。Imperva發(fā)現(xiàn)它試圖利用CVE-2017-9805的攻擊向量:
在探查其遠程服務(wù)器時,發(fā)現(xiàn)了下列可疑文件:
這份文件表中包括有已知的惡意文件�,如:“minerd”,但還有許多未知可疑文件�����,如:“transfer.sh”�。
在將“transfer.sh”提交給Virus Total后,發(fā)現(xiàn)了新發(fā)現(xiàn)的病毒���,也是2018年3月5日曾首次發(fā)布且僅被10個防病毒引擎探測到過的惡意文件��。
這份shell腳本文件是一個下載程序��,功能與我們所知的舊版cryptojacking下載器類似:
? 會從外部源下載一個crypto miner惡意程序��;
? 利用crontab中的新條目永久的存在于機器中�����;
? 通過/root/.ssh/authorized_keys and new entries in the system’s iptables中新的ssh密鑰條目�,遠程訪問機器;
但與常見的下載程序不同的是��,該下載程序擁有下列新功能:
自足性
該腳本會利用Linux的標準包管理器�,如:“apt”及“yum”安裝各類包,確保其能夠自給自足�����,無需再依賴受害人設(shè)備的本地程序庫��。目前我們探測到的安裝程序包包括:git, python, redis-tools, wget, gcc及 make���。
Github集成
這個腳本會從Github資源庫中下載一個公用工具masscan,對其進行編輯與安裝�����。
https://github.com/robertdavidgraham/masscan將其稱為“TCP端口掃描器�����,可異步生成最多的SYN數(shù)據(jù)包��,并在5分鐘之內(nèi)掃描整個互聯(lián)網(wǎng)”�。
此外����,還提供了簡單的用法示例:
掃描與感染Redis
該腳本隨后還會啟動另外一個名為“redisscan.sh”的程序��。該程序利用前述masscan工具����,找到并感染公共Redis服務(wù)器。同時創(chuàng)建了一大批內(nèi)外IP����,同時掃描6379端口(Redis的默認端口)。
在其創(chuàng)建的IP中��,只要有一個是可公共獲取的IP�����,則腳本就會啟動“redisrun.sh”程序���,將其植入部署有相同crypto miner惡意軟件(“transfer.sh””)的設(shè)備����。通過之前安裝的下載程序redis-cli命令行工具運行“runcmd”����,即可成功感染設(shè)備����。
“runcmd”是一個10行的Redis命令腳本���,可在Redis服務(wù)器的crontab目錄中創(chuàng)建新條目���,植入服務(wù)器�����,并永久的留存下來��,以防止有人注意到并刪除惡意軟件�����。
我們還發(fā)現(xiàn)����,攻擊者還會利用各關(guān)鍵值開頭及末尾的換行符“\n”。如果在Redis服務(wù)器上運行這些命令�,則會創(chuàng)建一個文件�,內(nèi)容如下:
掃描與感染SMB
該腳本掃描了Redis后���,又啟動另一個名為“ebscan.sh”的掃描程序����。此時���,新程序利用masscan工具發(fā)現(xiàn)并感染了易受攻擊的SMB版公用Windows服務(wù)器��。這一過程主要是通過創(chuàng)建的一大批內(nèi)外部IP���,并對SMB默認的端口445進行掃描實現(xiàn)的。
之所以掃描的SMB漏洞是因為NSA要利用其制作臭名昭著的“Eternal Blue”病毒���,然后再利用該病毒執(zhí)行全球最大型的網(wǎng)絡(luò)攻擊“WannaCry”���。
當腳本找到一個有漏洞的服務(wù)器時,會啟動“ebrun.sh”并將其感染���。
“ebrun.sh“在前述“Eternal Blue”漏洞中運行Python�,然后再向有漏洞的設(shè)備投入“x64.bin“文件。
我們利用strings命令打印了文件中可打印字符的所有字串����,并發(fā)現(xiàn)了一個能夠創(chuàng)建惡意VBScript的文件,名為“poc.vbs”��。
運行該文件后發(fā)現(xiàn)�����,“poc.vbs”會下載一個可執(zhí)行文件�����,并在外部運行該文件��,即:以“admissioninit.exe”的形式留存在易受攻擊的服務(wù)器中�,并運行���。而admissioninit.exe就是那個大名鼎鼎的crypto miner惡意軟件�����。
該如何應(yīng)對這種攻擊呢�?
保護web applications與數(shù)據(jù)庫。初始攻擊都是通過web applications漏洞進入的�。因此需要使用打過補丁的應(yīng)用,或受WAF保護的應(yīng)用程序就安全了����。
請不要將Redis服務(wù)器設(shè)置為公共可用。這個只要用簡單的防火墻規(guī)則設(shè)置即可��。
請不要使用易受攻擊的SMB版本設(shè)備��。
