概述
近日,阿里云安全团队监测到h2Miner挖矿僵尸网络蠕虫的一波突然爆发,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。
在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。
由于全网redis近百万台的数量,因此阿里云安全团队建议用户尽量不要将redis服务暴露在公网,及时排查相关弱口令问题及是否受蠕虫影响,必要时可考虑选用安全产品帮助保障安全。
背景
h2Miner团伙
h2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp5RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信。
Redis RCE
此利用方式由Pavel Toporkov在zeronights 2018上分享,在Redis 4.x之后,Redis新增了Module功能,使用者可以在Redis中加载由C语言编译而成的so文件,从而实现特定的Redis命令。而在Redis主从模式下,可以通过FULLRESYNC同步文件到从机上,从而完成恶意so文件的传输。传输完成后在目标机Redis上进行Module加载,便可执行任意指令。
蠕虫分析
近日,阿里云安全团队发现h2Miner团伙规模突然急剧上升,在短短几日