- Aqua Nautilus 发现了一种用 Golang 编写并针对 Redis 服务器的新后门恶意软件,因此它被命名为 Redigo。
- 该恶意软件于 2022 年被发现,它利用 Lua 脚本引擎中的漏洞进行攻击。
- Aqua Nautilus 在黑客对该公司故意易受攻击的 Redis 蜜罐之一发起攻击后检测到该漏洞。
Aqua Nautilus分享了他们发现的一种新的基于 Go 的恶意软件的详细信息。该恶意软件以Redis服务器为目标,并针对 Aqua Nautilus 故意易受攻击的 Redis 蜜罐之一发起攻击,该漏洞被追踪为CVE-2022-0543。
用 Go 语言编写
Aqua Nautilus 的调查发现了一种新的未检测到的恶意软件,它是用 Go 语言编写的。该恶意软件旨在允许攻击服务器控制受感染的 Redis 服务器。该团队决定将该漏洞命名为 Redigo。
该恶意软件利用了 2022 年在 Lua 脚本引擎中发现的一个漏洞。Lua 库在一些 Debian 软件包中提供了一个动态库。当服务器加载时,它会加载一个包变量,该变量留在 Lua 沙箱中并用于调用任何 Lua 库。它会导致 Lua 沙箱逃逸,从而允许攻击者执行任意命令。
扫描器或僵尸网络在端口 6379 上搜索暴露的 Redis 服务器。一旦连接到 Redis 服务器,攻击者就可以运行 Redis 命令,如下所示:
- INFO 命令: 此命令允许攻击者接收有关我们的 Redis 服务器的信息。在他们收到的数据中,他们现在知道哪个服务器的版本容易受到 CVE-2022-0543 的攻击。此信息为对手提供了他们能够利用该漏洞所需的批准,并允许他们开始准备利用它的表面。
- SLAVEOF 命令: 这允许对手创建攻击服务器的副本。此操作稍后将帮助他们下载允许利用该漏洞的共享对象。
- REPLCONF 命令: 此命令用于配置从主服务器(攻击服务器)到刚刚创建的副本的连接。
- PSYNC 命令: 新副本运行此命令并从主服务器启动复制流。此连接使副本保持更新,并允许主服务器发送命令流。被定义为主服务器的攻击服务器使用此连接将共享库 exp_lin.so 下载到副本的磁盘。此外,此连接可以将对手用作后门,在连接期间发生中断的情况下,副本会重新连接并尝试获取在断开连接期间丢失的命令流的一部分。
- MODULE LOAD 命令: 这允许在运行时从第 4 阶段下载的动态库中加载模块。该库允许利用该漏洞并在以后运行任意命令。
- SLAVEOF NO ONE 命令: 这将关闭复制并将易受攻击的 Redis 服务器转换为主服务器。
对于命令和控制,恶意软件模仿 Redis 服务器通信,允许攻击者隐藏目标主机与命令和控制服务器之间的通信。下载恶意软件后,易受攻击的 Redis 服务器成为客户端,而攻击服务器现在是 Redis 服务器。这一变化使对手能够表达彼此之间的 C2 连接,因为攻击服务器的响应将用作未来攻击的命令。它通过使用端口 6379 模拟合法的 Redis 集群通信。Aqua Nautilus 建议:
- 未知威胁和零日漏洞将继续存在。即使您做的每件事都正确,您也无法始终保护您的运行时环境免受此类攻击。因此,您需要监视运行时环境。部署 Aqua Lightning Enforcer 以保护您的运行时环境。运行时监控是一种基本实践,可帮助快速缓解问题并最大程度地减少中断。监视过程还适用于可能发生可疑活动的运行时环境。
- 强化您的环境以防止运行不需要的 Redis 命令,例如 slaveof。
- 扫描您的供应链。您可以使用Chain-Bench 等开源工具,该工具旨在根据新的 CIS 软件供应链基准审核您的软件供应链堆栈的安全合规性。
- 为您的开发人员、DevOps 和安全团队提供扫描漏洞和错误配置的工具。除了 Aqua 的组织工具,您还可以找到特定的开源工具(例如 Trivy)来扫描此类漏洞。
Aqua Nautilus 说,
« 我们正面临一种新的威胁,这是首次在野外发现的后门恶意软件。这些对手在构建僵尸网络时使用看似无害的 Redis 协议通信,然后将我们的 Redis 服务器转换为从服务器以执行主服务器的命令。由于这些攻击者利用了我们服务器中的漏洞,攻击得以成功。»
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Aqua Nautilus确定了一个新的后门恶意软件Redigo
