安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。
Redis(远程字典服务器)是一种内存数据结构存储,用作数据库、缓存和消息代理,以其高性能而闻名,每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。
威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。
新的恶意软件的不同之处在于其使用系统削弱命令来关闭 Redis 安全功能,从而允许加密劫持活动较长时间持续。
Migo 活动由云取证提供商 Cado Security的分析师所发现,他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。
在暴露的 Redis 服务器受到攻击后,攻击者会禁用关键的安全功能,以允许接收后续命令并使副本可写。
Cado 表示,他们注意到攻击者通过 Redis CLI 禁用了以下配置选项:
·set protected-mode:禁用此选项将允许外部访问 Redis 服务器,从而使攻击者更容易远程执行恶意命令。
·replica-read-only:关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。
·aof-rewrite-incremental-fsync:禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载,来帮助攻击者不被检测到。
·rdb-save-incremental-fsync:关闭它可能会导致 RDB 快照保存期间性能下降,从而可能允许攻击者造成拒绝服务 (DoS) 或操纵持久性行为以获取优势。
观察命令执行
攻击者设置一个 cron 作业,从 Pastebin 下载脚本,该脚本从 Transfer.sh 检索 Migo 的主要负载 (/tmp/.migo) 以作为后台任务执行。
这是一个用 Go 编译的 UPX 打包的 ELD 二进制文件,具有编译时混淆功能以阻碍分析。
Migo 的主要功能是直接从 GitHub 的 CDN 在受感染的端点上获取、安装和启动修改后的 XMRig (Monero) 挖矿程序。
该恶意软件通过创建 systemd 服务和关联的计时器来为矿工建立持久性,确保其连续运行,以攻击者的帐户挖掘加密货币。
Migo 的 Linux 系统调用序列
Cado 报告称,Migo 使用用户模式 rootkit 来隐藏其进程和文件,从而使检测和删除变得复杂。
该恶意软件修改“/etc/ld.so.preload”以拦截和更改列出进程和文件的系统工具的行为,从而有效地隐藏其存在。
攻击结束时,Migo 设置防火墙规则来阻止某些 IP 的出站流量,并执行命令来禁用 SELinux、搜索并可能禁用云提供商监控代理,并删除竞争的矿工或有效负载。
它还操纵 /etc/hosts 以阻止与云服务提供商的通信,从而进一步隐藏其活动。
Migo 的攻击链表明,其背后的威胁组织对 Redis 环境和操作已有了深入了解。尽管加密劫持威胁并不太严重,但威胁组织却可以利用该访问权限来传递更危险的有效负载。
参考及来源:
https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/