В сети появилась новая кампания по криптоджекингу, получившая название RedisRaider, нацеленная на общедоступные серверы Redis. Данная кампания использует сложные методы для выявления и эксплуатации уязвимых систем, что позволяет развернуть вредоносные полезные нагрузки на основе Go, включающие закодированную и запакованную версию майнера XMRig.
Методы и механизмы RedisRaider
RedisRaider применяет агрессивные методы сканирования в рандомизированных сегментах пространства IPv4, действуя прежде всего на серверы Redis, работающие на порту по умолчанию 6379. Ключевые шаги в процессе эксплуатации данной угрозы включают:
- Выдача команды INFO для проверки операционной среды экземпляра Redis;
- Использование команды SET для запуска сценария оболочки в кодировке base64 в качестве задания cron.
После обнаружения уязвимого сервера вредоносная программа устанавливает задания cron, что создает потенциальную устойчивость в системе.
Меры противодействия криминалистике
Полезная нагрузка RedisRaider включает в себя меры для борьбы с криминалистическим анализом, такие как:
- Короткое время жизни (TTL) для задания cron, что снижает вероятность обнаружения;
- Изменение параметров конфигурации для сохранения вредоносных записей.
Данные меры затрудняют анализ после инцидента и способствуют сохранению вредоносного кода.
Стратегия и инфраструктура атаки
Инфраструктура RedisRaider указывает на хорошо скоординированную стратегию атаки. Например, среди новых функций присутствует встроенный в браузер майнер Monero, обнаруженный на южнокорейском веб-сервере. Использование нескольких параллельных программных продуктов позволяет добиться эффективного сканирования и эксплуатации.
Обфускация и методы уклонения
Методы обфускации RedisRaider делают статический анализ значительно более сложным:
- Применение обфускатора времени компиляции Garble;
- Кодирование имён пакетов;
- Использование пользовательских упаковщиков для сокрытия полезной нагрузки майнера в неисполняемом разделе двоичного файла.
Эти подходы демонстрируют глубокое понимание хакером внутренней структуры Redis и методов уклонения от обнаружения с использованием мер безопасности.
Риски и необходимость защиты
Кампания RedisRaider акцентирует внимание на растущих рисках, связанных с плохо защищенными общедоступными сервисами, такими как Redis. Для предотвращения использования данных уязвимостей необходимы:
- Надежные методы аутентификации;
- Ограниченный доступ;
- Бдительный мониторинг систем.
RedisRaider иллюстрирует переход от оппортунистических стратегий криптоджекинга к целенаправленным и сложным операциям, что может обеспечить широкий охват в скомпрометированных средах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "RedisRaider: новая угроза криптоджекинга для серверов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.