自 2021 年 9月初以来,全球至少有 1200 台 Redis 数据库服务器使用名为 HeadCrab 的“难以捉摸的严重威胁”被整合到僵尸网络中。“这种高级威胁行为者利用最先进的定制恶意软件,无代理和传统防病毒解决方案无法检测到该恶意软件来破坏大量Redis服务器,”Aqua安全研究员Asaf Eitani在周三的一份报告中说。
迄今为止,中国、马来西亚、印度、德国、英国和美国的感染记录非常集中。威胁行为者的起源目前尚不清楚。
在云安全公司揭示代号为Redigo的基于Go的恶意软件的两个月后,该发现已发现危害Redis服务器。该攻击旨在针对暴露在互联网上的 Redis 服务器,然后从已经在对手控制下的另一台 Redis 服务器发出 SLAVEOF 命令。
在此过程中,流氓“主”服务器启动新入侵服务器的同步,以将恶意负载下载到后者上,其中包含复杂的 HeadCrab 恶意软件。“攻击者似乎主要针对Redis服务器,并且对Redis模块和API有深刻的理解和专业知识,正如恶意软件所证明的那样,”Eitani指出。
虽然使用内存驻留恶意软件的最终目标是劫持系统资源进行加密货币挖掘,但它还拥有许多其他选项,允许威胁参与者执行 shell 命令、加载无文件内核模块以及将数据泄露到远程服务器。
更重要的是,对 Redigo 恶意软件的后续分析显示,它正在将相同的主从技术武器化以进行扩散,而不是之前披露的 Lua 沙盒逃逸漏洞 (CVE-2022-0543)。
建议用户不要将 Redis 服务器直接暴露给互联网,如果不使用,则禁用其环境中的“SLAVEOF”功能,并将服务器配置为仅接受来自受信任主机的连接。Eitani说:“HeadCrab将坚持使用尖端技术渗透服务器,无论是通过利用错误配置还是漏洞。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...