脆弱な Redis サーバーをオンラインで追跡するように設計された新しいステルス マルウェアは、2021 年 9 月以降、仮想通貨 Monero をマイニングするボットネットを構築するために、1,000 台以上の Redis サーバーに感染しました。
Aqua Security の研究者である Nitzan Yaakov と Asaf Eitani がそれを HeadCrab と名付けて発見したこのマルウェアは、これまでに少なくとも 1,200 のそのようなサーバーを罠にかけ、オンラインでより多くのターゲットをスキャンするためにも使用されています。
「この高度な脅威アクターは、エージェントレスの従来のウイルス対策ソリューションでは検出できない最先端のカスタムメイドのマルウェアを利用して、多数の Redis サーバーを侵害しています」と研究者は述べています。
「私たちは、HeadCrab マルウェアだけでなく、Redis サーバーでのその感染を検出する独自の方法も発見しました。私たちの方法は、実際に公開されているサーバーに適用すると、約 1,200 のアクティブに感染したサーバーを発見しました。」
このボットネットの背後にいる攻撃者は、Redis サーバーが組織のネットワーク内で使用されるように設計されており、インターネット アクセスにさらされないように設計されているため、デフォルトで認証が有効になっていないという事実を利用しています。
管理者がそれらを保護せず、誤って (または意図的に) ローカル ネットワークの外部からアクセスできるように構成した場合、攻撃者は悪意のあるツールやマルウェアを使用して簡単に侵害し、乗っ取ることができます。
認証を必要としないサーバーへのアクセスを取得すると、悪意のあるアクターは「SLAVEOF」コマンドを発行して、制御下にあるマスター サーバーを同期し、新たに乗っ取られたシステムに HeadCrab マルウェアを展開します。
インストールして起動すると、HeadCrab は攻撃者に、標的のサーバーを完全に制御してクリプトマイニング ボットネットに追加するために必要なすべての機能を提供します。
また、侵害されたデバイスのメモリ内で実行され、マルウェア対策スキャンをバイパスします。Aqua Security によって分析されたサンプルは、VirusTotal で検出されませんでした。
また、すべてのログを削除し、マスターによって制御されている他のサーバーとのみ通信して検出を回避します。
「攻撃者は、検出を回避し、セキュリティ ソリューションによってブラックリストに登録される可能性を減らすために、正当な IP アドレス、主に他の感染したサーバーと通信します」と研究者は付け加えました。
「このマルウェアは主に、悪意のあるフラグが立てられる可能性が低い Redis プロセスに基づいています。ペイロードはメモリのみのファイルである memfd を介してロードされ、カーネル モジュールはディスクへの書き込みを回避してメモリから直接ロードされます。」
マルウェアの分析中に、攻撃者は主に、以前に侵害されたサーバーでホストされているマイニング プールを使用して、特定と検出を複雑にしていることがわかりました。
さらに、このボットネットにリンクされた Monero ウォレットは、攻撃者が労働者あたり約 4,500 ドルの推定年間利益を上げていることを示しました。
Redis サーバーを防御するために、管理者は、ネットワーク内のクライアントのみがアクセスできるようにし、未使用の場合は “slaveof” 機能を無効にし、インスタンスがループバック アドレスにのみ応答して拒否するように構成する保護モードを有効にすることをお勧めします。他の IP アドレスからの接続。
Comments