研究人员称之为 Redigo 的一种新的基于 Go 的恶意软件威胁一直以易受 CVE-2022-0543 攻击的 Redis 服务器为目标,以植入隐蔽的后门并允许执行命令。
CVE-2022-0543 是 Redis(远程词典服务器)软件中的严重漏洞,具有最高严重等级。它于2022年 2 月被发现并修复。
修复程序发布几个月后,攻击者继续在未打补丁的机器上利用它 ,因为概念验证漏洞利用代码已公开可用。
该恶意软件的名称 Redigo 是根据它所针对的机器和用于构建它的编程语言创造的。
今天,AquaSec 报告 说,其易受 CVE-2022-0543 攻击的 Redis 蜜罐捕获了一种新的恶意软件,该恶意软件未被 Virus Total 上的防病毒引擎检测为威胁。
Redigo 攻击
AquaSec 表示,Redigo 攻击从扫描端口 6379 开始,以定位暴露在开放网络上的 Redis 服务器。找到目标端点后,atacker 连接并运行以下命令:
- 信息– 检查 Redis 版本以确定服务器是否容易受到 CVE-2022-0543 的攻击。
- SLAVEOF – 创建攻击服务器的副本。
- REPLCCONF——配置从攻击服务器到新创建的副本的连接。
- PSYNC – 启动复制流并在服务器磁盘上下载共享库“exp_lin.so”。
- MODULE LOAD – 从下载的动态库中加载模块,能够执行任意命令并利用 CVE-2022-0543。
- 没有任何奴隶——将易受攻击的 Redis 服务器转变为主人。
利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo (redis-1.2-SNAPSHOT)。恶意软件在提升权限后执行。
攻击者通过端口 6379 模拟正常的 Redis 通信以逃避网络分析工具的检测,同时试图隐藏来自 Redigo 命令和控制服务器的流量。
由于 AquaSec 蜜罐的攻击持续时间限制,其分析师无法确定 Redigo 在环境中建立立足点后究竟做了什么。
AquaSec 表示,Redigo 的最终目标可能是将易受攻击的服务器作为机器人添加到网络中以进行分布式拒绝服务 (DDoS) 攻击或在受感染的系统上运行加密货币矿工。
此外,由于 Redis 是一个数据库,访问数据以窃取数据也是 Redigo 攻击中的一个合理场景。
有关缓解 Redis 漏洞的更多信息,请查看Debian安全公告或Ubuntu关于 CVE-2022-0543 的安全公告。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Redigo恶意软件在Redis服务器上放置隐蔽的后门
