.
Um botnet sorrateiro apelidado de HeadCrab, que usa malware sob medida para minerar Monero, infectou pelo menos 1.200 servidores Redis nos últimos 18 meses.
Os servidores comprometidos abrangem os EUA, Reino Unido, Alemanha, Índia, Malásia, China e outros países, de acordo com os pesquisadores Nautilus da Aqua Security, que descobriram o malware HeadCrab e agora encontraram uma maneira de detectá-lo.
“As vítimas parecem ter pouco em comum, mas o invasor parece ter como alvo principalmente servidores Redis e tem um profundo conhecimento e experiência em módulos e APIs Redis, conforme demonstrado pelo malware”, Asaf Eitani e Nitzan Yaakov relatado.
Os servidores de banco de dados Redis de código aberto não têm autenticação ativada por padrão, algo que os invasores do HeadCrab usam a seu favor. Se os administradores não ativarem a autenticação ou garantirem que os servidores sejam executados em uma rede fechada e segura, em vez de serem expostos à Internet, os servidores ficarão vulneráveis ao acesso não autorizado e à execução de comandos. Parece que muitos deles não são.
Além disso, os clusters Redis usam servidores master e slave para replicação e sincronização de dados, que o HeadCrab também aproveita em seus ataques.
Depois de encontrar um servidor que não requer autenticação, os malfeitores podem comprometê-lo usando o comando SLAVEOF padrão para definir o servidor vítima como escravo de um servidor Redis controlado pelo invasor. Isso permite que eles sincronizem o servidor escravo e baixem o malware HeadCrab do servidor mestre para os hosts afetados.
Embora os pesquisadores de segurança não saibam quem está por trás dos ataques, a motivação para comprometer os servidores Redis parece ser a mineração ilícita de criptomoedas. A equipe da Aqua conseguiu extrair o arquivo de configuração do minerador da memória e eles dizem que ele mostrou pools de mineração hospedados principalmente em endereços IP privados e legítimos pertencentes a hosts limpos ou a uma “empresa líder em segurança” não identificada.
Com base na carteira Monero do invasor, Eitani e Yaakov estimam que os criminosos esperavam um lucro anual de cerca de US$ 4.500 por trabalhador infectado.
“Percebemos que o invasor fez de tudo para garantir a furtividade de seu ataque”, observaram os pesquisadores.
Isso inclui projetar o malware para ser executado na memória e, assim, ignorar varreduras baseadas em volume, excluir logs usando a estrutura e a API do módulo Redis e se comunicar com um endereço IP legítimo (novamente para evitar a detecção e reduzir a probabilidade de ser sinalizado como malicioso) .
“Nossa análise também descobriu que não há detecções desses binários como maliciosos no Virus Total”, escreveram Eitani e Yaakov, acrescentando: “É nossa convicção que o HeadCrab persistirá em usar técnicas de ponta para penetrar nos servidores, seja por meio da exploração configurações incorretas ou vulnerabilidades.”
Para se proteger contra infecções, os pesquisadores de segurança recomendam não expor as instâncias do Redis à Internet – ou a qualquer outro ambiente não confiável. Além disso, ative mais protegido para servidores Redis baseados em nuvem e use o parâmetro de ligação para garantir que seu servidor aceite apenas a comunicação de hosts conhecidos.
Finalmente, se você não precisa do recurso “slaveof”, Eitani e Yaakov “aconselham enfaticamente desativá-lo”. ®
.
