最新消息:图 床

Linux Redis自動化挖礦感染蠕蟲分析及安全建議

COOL IAM 21浏览 0评论

作者:Fooying@雲鼎實驗室
公眾號:雲鼎實驗室

一、背景

自從Redis未授權問題獲取Linux系統root權限的攻擊方法的披露后,由於其易用性,利用該問題入侵Linux服務進行挖礦、掃描等的黑客行為一直層出不窮;而在眾多利用該問題入侵服務器進行黑產行為的案例中,其中就存在一類利用該問題進行挖礦並且會利用pnscan自動掃描感染其他機器;該類攻擊一直存在,不過在近期又呈現數量增加的趨勢,在最近捕獲到多次,我們針對其做下具體的分析。

二、漏洞說明

首先針對利用的漏洞做個說明,Redis 默認情況下,會綁定在 0.0.0.0:6379,在沒有利用防火牆進行屏蔽的情況下,將會將Redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意用戶在可以訪問目標服務器的情況下未授權訪問Redis以及讀取Redis的數據。攻擊者在未授權訪問Redis的情況下利用Redis的相關方法,可以成功將自己的公鑰寫入目標服務器的 ~/.ssh 文件夾的authotrized_keys 文件中,進而可以直接登錄目標服務器;如果Redis服務是以root權限啟動,可以利用該問題直接獲得服務器root權限。相關漏洞詳情可以參考:https://www.seebug.org/vuldb/ssvid-89715

以下為漏洞利用演示(視頻地址:https://v.qq.com/x/page/u0661b9o772.html):

經過在ZoomEye和SHODAN檢索,可以發現分別眾多Redis服務開放在公網上,這些服務都可能成為攻擊目標。

4.相關文件名 .mxff0、.x112、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx

鏈接

1.樣本
https://www.virustotal.com/#/file/9756e66c168ec963c58b3d0ca5483927c14a64a99ba718fa9488a52d4d207ed6

2.Pnscan項目地址
https://github.com/ptrrkssn/pnscan

3.漏洞說明
https://www.seebug.org/vuldb/ssvid-89715

4.漏洞利用演示
https://v.qq.com/x/page/u0661b9o772.html

5.雲鏡產品官網
https://cloud.tencent.com/product/hs


转载请注明:IAMCOOL » Linux Redis自動化挖礦感染蠕蟲分析及安全建議

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x