Linux Redis自动化挖矿感染蠕虫分析及安全建议

时间 2019-11-21

标签 linux redis 自动化感染蠕虫分析安全建议栏目 Linux 繁體版

原文原文链接

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~html

自从Redis未受权问题获取Linux系统root权限的攻击方法的披露后，因为其易用性，利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中，其中就存在一类利用该问题进行挖矿而且会利用pnscan自动扫描感染其余机器；该类攻击一直存在，不过在近期又呈现数量增长的趋势，在最近捕获到屡次，咱们针对其作下具体的分析linux

1、背景

自从Redis未受权问题获取Linux系统root权限的攻击方法的披露后，因为其易用性，利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中，其中就存在一类利用该问题进行挖矿而且会利用pnscan自动扫描感染其余机器；该类攻击一直存在，不过在近期又呈现数量增长的趋势，在最近捕获到屡次，咱们针对其作下具体的分析。git

2、漏洞说明

首先针对利用的漏洞作个说明，Redis 默认状况下，会绑定在 0.0.0.0:6379，在没有利用防火墙进行屏蔽的状况下，将会将Redis服务暴露到公网上，若是在没有开启认证的状况下，能够致使任意用户在能够访问目标服务器的状况下未受权访问Redis以及读取Redis的数据。攻击者在未受权访问Redis的状况下利用Redis的相关方法，能够成功将本身的公钥写入目标服务器的 ~/.ssh 文件夹的authotrized_keys 文件中，进而能够直接登陆目标服务器；若是Redis服务是以root权限启动，能够利用该问题直接得到服务器root权限。相关漏洞详情能够参考：https://www.seebug.org/vuldb/ssvid-89715github

通过在ZoomEye和SHODAN检索，能够发现分别众多Redis服务开放在公网上，这些服务均可能成为攻击目标。redis

3、入侵分析

通过对捕获的事件进行分析，咱们发现整个入侵流程大概是包含如下几个环节：数据库

扫描开放6379端口的Linux服务器（后续感染扫描网段为1.0.0.0/16到224.255.0.0/16）
经过redis-cli尝试链接Redis并执行预置在.dat文件里的利用命令将Redis的数据文件修改成/var/spool/cron/root，而后经过在Redis中插入数据，将下载执行脚本的动做写入crontab任务
经过脚本实现以上的相关行为，完成植入并启动挖矿程序
再编译安装pnscan，继续扫描感染下一个目标

4、脚本分析

整个入侵利用以及后续的感染的实现，最主要的功能都是基于经过Redis问题写入crontab任务中下载执行的.cmd脚原本实现的，经过对它的分析，咱们基本可以获得整个流程的全部细节，这是一个base脚本，咱们经过解读来分析下它的相关功能。缓存

这部分代码只要是用做重复执行的判断，将.mxff0文件做为标记文件，若是存在该文件则表明机器上已执行脚本，直接退出，不然写.mxff0文件并进行下一步动做；安全

设置预置动做，在脚本退出后删除相关文件和脚本自身；服务器

这部分主要是修改系统的配置，开头两行为关闭SELINUX；而后清空/var/spool/cron，进而判断系统DNS服务器是否存在8.8.8.8，没有则添加；接着清空系统tmp目录和删除相关文件；同时清空系统缓存，而最后修改/etc/security/limits.conf来更新系统的资源限制；微信

这里再进一步的增长iptables限制6379端口只容许本地访问，同时kill相关包含挖矿、redis客户端、爬虫等进程，这里的目的也比较简单，避免被其余黑客再次入侵，同时清除可能其余黑客入侵启动的进程；

清除相关登陆日志、命令操做历史；

这一长串的内容主要目的是下载并编译安装pnscan，从内容中咱们能够看到对于不一样操做系统的判断而后安装依赖的相关模块，而后才是从github下载pnscan的源码进行编译安装；至于为何采用编译安装的形式，猜想是出于兼容不一样系统以及每次编译生成的pnscan的MD5都不同，避免造成固定特征；

这部分主要是下载挖矿程序并重命名为.gpg，增长执行权限，执行后删除，同时从新上传到https://transfer.sh/ 获取新的连接；

而这部份内容主要是生成新的.dat文件，包含将原来.cmd脚本里的里挖矿程序的下载地址替换为上一步上传到https://transfer.sh/ 获得的新地址，还有Redis利用的相关语句；

而步主要是调用pnscan去扫描子网段1.0.0.0/16到224.255.0.0/16中开放6379端口而且操做系统为Linux的目标，而后利用redis-cli执行.dat中的命令，进行下个目标的感染；这里pnscan的-W参数值'2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a'转换后内容'*1\r\n$4\r\nINFO\r\n'，是向目标Redis服务发送请求获取Redis服务器的各类信息和统计数值，再经过-R参数值'6f 73 3a 4c 69 6e 75 78'(转换后内容为os:Linux)判断是否Linux系统。

最后就是收尾工做，清除相关日志和命令执行历史，同时在脚本退出的时候会触发脚本一开始用trap预置的动做，会作删除操做，删除相关文件和脚本自身（rm -rf m* .cmd tmp.* .r .dat $0）。经过对脚本的解读，咱们基本已经清楚整个蠕虫的行为和入侵流程，也就是咱们开始所描述的流程。

另外，经过阅读脚本，咱们发现虽然整个入侵流程并非多复杂，但脚本其实有不少”工程化”的细节考虑，不得不让人惊叹入侵者的”考虑周到”：

利用.mxff0文件作重复执行检验，避免脚本的重复执行

为了增长成功性，一些环境的预处理：

关闭SELINUX
增长8.8.8.8的DNS
清空tmp目录
清空系统缓存
修改系统资源限制

痕迹清除

利用trap预置动做好在脚本执行完成后删除相关文件和脚本自身
重复清除相关登陆等日志和命令执行历史

同行预防

利用iptables避免Redis服务开放在公网上从而致使再次被入侵
清除同行可能遗留的入侵行为，kill相关进程

系统兼容性

判断操做系统，针对性的执行相关命令，安装依赖包，最大限度的提升pnscan编译安装的成功率
关闭SELINUX，经过setenforce和修改/etc/sysconfig/selinux两种手段实现
写入Crontab里的下载并执行脚本的任务，经过curl、wget、lynx三种方式实现
Pnscan扫描增长操做系统判断，减小没有必要的感染尝试

特征去除，存活延续

Pnscan采用安装编译的方式，既提升在不一样系统下的兼容性，也避免造成固定的MD5特征
利用https://transfer.sh 中转，每一次感染均生成新的链接，避免固定连接造成固定特征
下载到系统的相关文件均采用随机生成的文件名正是因为入侵者种种的”考虑周到”使得他的入侵感染的成功率可以达到的必定的层度。

5、安全建议

病毒清理和系统恢复

咱们主要参考脚本的相关行为进行对应的行为恢复和删除便可：

关闭SELINUX，根据系统原环境和业务须要从新开启SELINUX
清空了/var/spool/cron，根据原先备份清空恢复
修改/etc/resolv.conf增长DNS服务8.8.8.8，如无影响可不处理，或者删除
修改了系统资源限制(/etc/security/limits.conf)，可根据备份状况恢复
增长了对6379端口的Iptables规则，若是不影响业务，建议保留
Kill了相关进程，检查是否包含业务所需进程，根据状况恢复
安装了相关包，具体列表见上文，可根据状况删除或者如无影响可保留
编译安装了pnscan，可删除/usr/local/bin/pnscan
清除了相关日志和tmp目录，对系统无影响，可忽略
启动了挖矿进程和pnscan扫描感染，进程：.gpg、pnscan，直接kill

还包含了一些中间文件，虽然脚本包含相关删除操做，但建议仍是全局查找确认： .mxff0、.x1十二、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx

Redis服务加固

致使入侵的主要缘由是Redis未受权访问问题，因此若是要扼制入侵的入口，须要针对Redis服务进行加固，避免黑客经过该途径进行入侵植入挖矿蠕虫。
如无必要，修改bind项，不要将Redis绑定在0.0.0.0上，避免Redis服务开放在外网，能够经过iptables或者腾讯云用户能够经过安全组限制访问来源
在不影响业务的状况，不要以root启动Redis服务，同时建议修改默认的6379端口，大部分针对Redis未受权问题的入侵都是针对默认端口进行的
配置AUTH，增长密码校验，这样即便开放在公网上，若是非弱口令的状况，黑客也没法访问Redis服务进行相关操做
使用rename-command CONFIG "RENAME_CONFIG"重命名相关命令，这样黑客即便在链接上未受权问题的Redis服务，在不知道命令的状况下只能获取相关数据，而没法进一步利用

其余建议

腾讯云公有云和私有云用户能够安装腾讯云主机安全产品-云镜，在被入侵植入木马后能够第一时间得到提示，及时止损
建议开通云镜专业版，能够提早检测获知服务器的安全漏洞，及时修复，避免被利用

6、附录

IOCs

脚本 https://transfer.sh/MIpIA/tmp.9kIguIhkI7
挖矿程序 https://transfer.sh/MIpIA/tmp.vOYTgmtZge2918ee2b69bc4e6b581c7b25f08434fe
矿池域名 http://jb.chakpools.com/
相关文件名 .mxff0、.x1十二、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx

连接

样本https://www.virustotal.com/#/file/9756e66c168ec963c58b3d0ca5483927c14a64a99ba718fa9488a52d4d207ed6
Pnscan项目地址 https://github.com/ptrrkssn/pnscan
漏洞说明 https://www.seebug.org/vuldb/ssvid-89715
漏洞利用演示 https://v.qq.com/x/page/u0661b9o772.html
云镜产品官网 https://cloud.tencent.com/product/hs

问答

如何避免打开重定向漏洞和安全重定向成功登陆？

相关阅读

Hadoop Yarn REST API未受权漏洞利用挖矿分析

黑客是如何实现数据库勒索的 ?

2018云+将来峰会圆桌面对面：以网络安全之能，造国之重器

此文已由做者受权腾讯云+社区发布，原文连接：https://cloud.tencent.com/developer/article/1142506?fromSource=waitui

欢迎你们前往腾讯云+社区或关注云加社区微信公众号（QcloudCommunity），第一时间获取更多海量技术实践干货哦~