事件分析 | 一起攻击者利用Redis未授权访问漏洞进行新型入侵挖矿事件

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

系统安全

事件分析 | 一起攻击者利用Redis未授权访问漏洞进行新型入侵挖矿事件

2018-10-05 09:00:53

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

*本文原创作者：hanochzhang、 jaryzhou，本文属于FreeBuf原创奖励计划，未经允许禁止转载

一、事件背景

近日，腾讯安全云鼎实验室发现一起针对云上服务器利用 Redis 未授权访问漏洞的入侵挖矿事件，和以往研究发现的入侵挖矿行为相比，此次入侵行为更具有针对性，主要瞄准大型云服务商提供的服务器，并且入侵手法更高级，具备扫描感染、进程隐藏等多种能力。

二、入侵分析

攻击者利用 Redis 未授权访问漏洞入侵服务器，写入 crontab 任务下载恶意脚本并植入挖矿程序。仔细分析此次入侵事件，有以下特点：

➢ 恶意脚本存放在 hxxps://pastebin.com 站点，下载链接频繁改变，方便隐藏，增加拦截成本；
➢ 通过受害者服务器感染更多有相同漏洞的外网服务器，使得难以追踪真实攻击源；
➢ 从 ident.me 站点获取要感染的 IP 地址，多是大型云服务提供商的服务器地址；
➢ 采用对抗手段，卸载安全产品，极有可能是针对云上服务器的入侵挖矿行为；
➢ 在 root 和 ubuntu 用户目录下写 SSH 公钥，并设置 iptables 禁止外网访问 Redis，后续可通过 SSH 后门入侵；
➢ 受害服务器访问 hxxps://2no.co/11Grb，记录受害者 IP 地址；
➢ 利用 Linux 动态链接库加载机制隐藏进程，使用 top 等命令不能发现异常进程，增加排查难度；
➢ 留存在系统上的恶意脚本功能不全，仅仅守护挖矿进程，隐藏真实的攻击手法；
➢ 挖矿程序经过 UPX 加壳处理，增加检测难度。

恶意脚本中定义的函数如下图：

由于脚本内容过多，下面先分析脚本的核心部分，再对部分函数进行细致分析。

1. 恶意脚本的核心程序如下：

恶意脚本首先访问 hxxps://pastebin.com/raw/SGM25Vs3, 返回内容为 noupdate 或 update；根据返回内容执行不同的流程，返回内容为 update 则调用 echocron 函数更新 crontab 任务，否则运行一系列函数下载挖矿程序、Redis 扫描等程序；最后访问 hxxps://2no.co/11Grb 记录受害者 IP，并且在服务器的 root 和 ubuntu 用户目录下写入 SSH 公钥，后续的入侵数据也提取到攻击者 SSH 访问的 IP 地址为103.87.9.40，属于3A网络运营商(cnaaa.com)。

2. 恶意脚本中的部分函数：

tables 函数：

tables 函数设置 iptables 规则，禁止外网访问 Redis 6379端口，运行本地访问6379端口。生成 /tmp/.tables 文件，作为 iptables 规则设置的标志。

uninstall 函数：

uninstall 函数卸载安全产品，生成 /tmp/.uninstall 文件作为卸载成功的标志。

python 函数：

python 函数执行一段 Python 代码，生成 /tmp/.tmpp 作为执行成功的标志。代码比较简单，解码 base64 字符串并调用 exec 执行，base64 解码后内容如下：

从 hxxps://pastebin.com/raw/eRkrSQfE 获取 base64 编码的内容，解码后执行。解码内容如下：

Python 脚本扫描外网开放6379端口的服务器，利用 Redis 未授权访问漏洞写 crontab 任务。脚本从 ident.me 站点获取要扫描的 IP 地址，生成B段 IP 地址列表，然后扫描这些 IP 地址，若存在 Redis 未授权漏洞，则写入 crontab 任务，内容如下：

站点 hxxps://pastebin.com/raw/5bjpjvLP，内容如下：

hxxps://pastebin.com/raw/Gw7mywhC 返回的内容和最初分析的恶意脚本内容一致，表明攻击者利用受害者的服务器去感染外网存在 Redis 未授权访问漏洞的服务器。

system 函数

system 函数从 hxxps://pastebin.com/raw/KqzUfgz0 下载脚本命名为 dns，存放于系统 bin 目录下，然后赋予脚本可执行权限，并写入crontab任务。dns 文件内容为

hxxps://pastebin.com/raw/9DTSBYBt 返回的内容，解码后发现仅保留了下载挖矿程序和写 crontab 任务功能，删除了 Redis 扫描，卸载安全产品等功能。将 dns 文件存放在服务器上，功能越少越方便隐藏攻击者的入侵手法。

top 函数：

top 函数从 hxxps://monero.minerxmr.ru/1/1535595427x-1404817712.jpg 下载恶意程序，主要功能是过滤挖矿进程，过滤进程名为 kworkerds。下载文件命名为 libdns.so，存放在系统 /usr/local/lib/ 路径下，然后将 /usr/local/lib/libdns.so 写入 /etc/ld.so.preload，这里是利用 Linux 的动态链接库预加载机制，是一种常用的进程隐藏方法，而系统命令 top 受这个机制影响的。因此在 Linux 上执行 top 命令并不能看到挖矿的进程。

downloadrunxm 函数：

downloadrunxm 下载挖矿配置文件，并根据服务器操作系统位数下载合适的挖矿程序。挖矿程序主要配置信息如下：

矿池地址：
stratum+tcp://x1.minerxmr.ru:56415
钱包地址:
47eCpELDZBiVoxDT1tBxCX7fFU4kcSTDLTW2FzYTuB1H3yzrKTtXLAVRsBWcsYpfQzfHjHKtQAJshNyTU88LwNY4Q3rHFYA

下载的挖矿程序都经过 UPX 加壳处理，去壳后分析，发现使用了两种不同挖矿程序，一个是基于 https://github.com/xmrig/xmrig 源码编译的挖矿程序，版本为 XMRig 2.6.5，另一个是挖矿工具 xmr-stak，github 地址为 https://github.com/fireice-uk/xmr-stak，版本为v2.4.7。

三、攻击者信息

通过攻击者使用的 pastebin 站点的 URL 进行分析，发现使用的用户名为 SYSTEMTEN, 地址为 hxxps://pastebin.com/u/SYSTEMTEN

四、安全建议

利用 Redis 未授权访问漏洞读取 Redis 数据库中的数据，可能导致敏感信息泄露；恶意执行 Redis 提供的 flushall 命令清空数据，可能导致数据丢失；执行 Redis 提供的 config 命令进行文件读写操作，可能导致目标服务器被远程控制。为了避免正常业务受影响，云鼎实验室安全运营团队提醒企业务必高度重视，可按下述方式进行防护。

➢ 禁止外网访问 Redis
修改 redis.conf 文件，绑定本地 IP 或内网 IP，禁止外网访问 Redis
bind 127.0.0.1
➢ 修改 Redis 默认端口
修改 redis.conf 文件，将默认的6379端口改为其他端口
➢ Redis添加密码验证
修改 redis.conf 文件，设置 Redis 添加密码验证
requirepass mypassword
➢ 禁用高危命令
修改 redis.conf 文件，禁用远程修改DB文件地址
rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command EVAL ""
➢ 低权限运行 Redis 服务
给 Redis 服务创建单独的user和home目录，并且配置禁止登陆，例如：
groupadd -r redis && useradd -r -g redis redis
➢ 采用腾讯云 Redis 数据库产品
腾讯云 Redis 数据库产品默认已进行加固且会由相关团队定期维护，不受该漏洞影响。