作者:Fooying@雲鼎實驗室
公眾號:雲鼎實驗室
一、背景
自從Redis未授權問題獲取Linux系統root權限的攻擊方法的披露后,由於其易用性,利用該問題入侵Linux服務進行挖礦、掃描等的黑客行為一直層出不窮;而在眾多利用該問題入侵服務器進行黑產行為的案例中,其中就存在一類利用該問題進行挖礦並且會利用pnscan自動掃描感染其他機器;該類攻擊一直存在,不過在近期又呈現數量增加的趨勢,在最近捕獲到多次,我們針對其做下具體的分析。
二、漏洞說明
首先針對利用的漏洞做個說明,Redis 默認情況下,會綁定在 0.0.0.0:6379,在沒有利用防火牆進行屏蔽的情況下,將會將Redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意用戶在可以訪問目標服務器的情況下未授權訪問Redis以及讀取Redis的數據。攻擊者在未授權訪問Redis的情況下利用Redis的相關方法,可以成功將自己的公鑰寫入目標服務器的 ~/.ssh 文件夾的authotrized_keys 文件中,進而可以直接登錄目標服務器;如果Redis服務是以root權限啟動,可以利用該問題直接獲得服務器root權限。相關漏洞詳情可以參考:https://www.seebug.org/vuldb/ssvid-89715
以下為漏洞利用演示(視頻地址:https://v.qq.com/x/page/u0661b9o772.html):
經過在ZoomEye和SHODAN檢索,可以發現分別眾多Redis服務開放在公網上,這些服務都可能成為攻擊目標。
4.相關文件名 .mxff0、.x112、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx
鏈接
1.樣本
https://www.virustotal.com/#/file/9756e66c168ec963c58b3d0ca5483927c14a64a99ba718fa9488a52d4d207ed6
2.Pnscan項目地址
https://github.com/ptrrkssn/pnscan
3.漏洞說明
https://www.seebug.org/vuldb/ssvid-89715
4.漏洞利用演示
https://v.qq.com/x/page/u0661b9o772.html
5.雲鏡產品官網
https://cloud.tencent.com/product/hs
转载请注明:IAMCOOL » Linux Redis自動化挖礦感染蠕蟲分析及安全建議