.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
安全研究人員最新發現一起針對Linux 主機上的Redis 服務器的安全活動——威脅組織正使用名為“Migo”的惡意軟件來挖掘加密貨幣。
Redis(遠程字典服務器)是一種內存數據結構存儲,用作數據庫、緩存和消息代理,以其高性能而聞名,每秒為遊戲、技術、金融服務等行業的實時應用程序提供數千個請求。
威脅組織通常利用暴露的和可能易受攻擊的Redis 服務器來劫持資源、竊取數據和實施其他惡意目的。
新的惡意軟件的不同之處在於使用系統削弱命令來關閉Redis 安全功能,從而允許加密劫持活動較長時間持續。
Migo 活動由雲取證提供商Cado Security的分析師所發現,他們在蜜罐中觀察到攻擊者使用CLI 命令關閉保護配置並利用服務器。
關閉Redis 防護罩在暴露的Redis 服務器受到攻擊後,攻擊者會禁用關鍵的安全功能,以允許接收後續命令並使副本可寫。
Cado 表示,他們注意到攻擊者通過Redis CLI 禁用了以下配置選項:
马云惹不起马云set protected-mode:禁用此選項將允許外部訪問Redis 服務器,從而使攻擊者更容易遠程執行惡意命令。
马云惹不起马云replica-read-only:關閉此功能使攻擊者能夠直接寫入副本並在分佈式Redis 設置中傳播惡意負載或數據修改。
马云惹不起马云aof-rewrite-incremental-fsync:禁用它可能會導致在僅追加文件(AOF) 重寫期間產生更重的IO 負載,來幫助攻擊者不被檢測到。
马云惹不起马云rdb-save-incremental-fsync:關閉它可能會導致RDB 快照保存期間性能下降,從而可能允許攻擊者造成拒絕服務(DoS) 或操縱持久性行為以獲取優勢。
觀察命令執行
攻擊者設置一個cron 作業,從Pastebin 下載腳本,該腳本從Transfer.sh 檢索Migo 的主要負載(/tmp/.migo) 以作為後台任務執行。
這是一個用Go 編譯的UPX 打包的ELD 二進製文件,具有編譯時混淆功能以阻礙分析。
Migo 的主要功能是直接從GitHub 的CDN 在受感染的端點上獲取、安裝和啟動修改後的XMRig (Monero) 挖礦程序。
該惡意軟件通過創建systemd 服務和關聯的計時器來為礦工建立持久性,確保其連續運行,以攻擊者的帳戶挖掘加密貨幣。
Migo 的Linux 系統調用序列
Cado 報告稱,Migo 使用用戶模式rootkit 來隱藏其進程和文件,從而使檢測和刪除變得複雜。
該惡意軟件修改“/etc/ld.so.preload”以攔截和更改列出進程和文件的系統工具的行為,從而有效地隱藏其存在。
攻擊結束時,Migo 設置防火牆規則來阻止某些IP 的出站流量,並執行命令來禁用SELinux、搜索並可能禁用雲提供商監控代理,並刪除競爭的礦工或有效負載。
它還操縱/etc/hosts 以阻止與雲服務提供商的通信,從而進一步隱藏其活動。
Migo 的攻擊鍊錶明,其背後的威脅組織對Redis 環境和操作已有了深入了解。儘管加密劫持威脅並不太嚴重,但威脅組織卻可以利用該訪問權限來傳遞更危險的有效負載。