本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
安全研究人员最新发现一起针对Linux主机上的Redis服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。
Redis(远程字典服务器)是一种内存数据结构存储,用作数据库、缓存和消息代理,以其高性能而闻名,每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。
威胁组织通常利用暴露的和可能易受攻击的Redis服务器来劫持资源、窃取数据和实施其他恶意目的。
新的恶意软件的不同之处在于其使用系统削弱命令来关闭Redis安全功能,从而允许加密劫持活动较长时间持续。
Migo活动由云取证提供商Cado Security的分析师所发现,他们在蜜罐中观察到攻击者使用CLI命令关闭保护配置并利用服务器。
关闭Redis防护罩
在暴露的Redis服务器受到攻击后,攻击者会禁用关键的安全功能,以允许接收后续命令并使副本可写。
Cado表示,他们注意到攻击者通过Redis CLI禁用了以下配置选项:
·set protected-mode:禁用此选项将允许外部访问Redis服务器,从而使攻击者更容易远程执行恶意命令。
·replica-read-only:关闭此功能使攻击者能够直接写入副本并在分布式Redis设置中传播恶意负载或数据修改。
·aof-rewrite-incremental-fsync:禁用它可能会导致在仅追加文件(AOF)重写期间产生更重的IO负载,来帮助攻击者不被检测到。
·rdb-save-incremental-fsync:关闭它可能会导致RDB快照保存期间性能下降,从而可能允许攻击者造成拒绝服务(DoS)或操纵持久性行为以获取优势。
观察命令执行
攻击者设置一个cron作业,从Pastebin下载脚本,该脚本从Transfer.sh检索Migo的主要负载(/tmp/.migo)以作为后台任务执行。
这是一个用Go编译的UPX打包的ELD二进制文件,具有编译时混淆功能以阻碍分析。
Migo的主要功能是直接从GitHub的CDN在受感染的端点上获取、安装和启动修改后的XMRig(Monero)挖矿程序。
该恶意软件通过创建systemd服务和关联的计时器来为矿工建立持久性,确保其连续运行,以攻击者的帐户挖掘加密货币。
Migo的Linux系统调用序列
Cado报告称,Migo使用用户模式rootkit来隐藏其进程和文件,从而使检测和删除变得复杂。
该恶意软件修改“/etc/ld.so.preload”以拦截和更改列出进程和文件的系统工具的行为,从而有效地隐藏其存在。
攻击结束时,Migo设置防火墙规则来阻止某些IP的出站流量,并执行命令来禁用SELinux、搜索并可能禁用云提供商监控代理,并删除竞争的矿工或有效负载。
它还操纵/etc/hosts以阻止与云服务提供商的通信,从而进一步隐藏其活动。
Migo的攻击链表明,其背后的威胁组织对Redis环境和操作已有了深入了解。尽管加密劫持威胁并不太严重,但威胁组织却可以利用该访问权限来传递更危险的有效负载。
