Saldırganlar programın 8 yıllık versiyonunu kullanıyor Redis açık kaynaklı veritabanı sunucusu Metasploit’in Meterpreter modülünü bir sistemdeki açıkları ortaya çıkarmak için kötü niyetli olarak kullanmak, potansiyel olarak diğer birçok kötü amaçlı yazılımın ele geçirilmesine ve dağıtılmasına izin vermek.
AhnLab Güvenlik İstihbarat Merkezi’nden (ASEC) araştırmacılar şunları söyledi: bir blog yazısında Saldırganların, Meterpreter’ı kötü amaçlarla dağıtmak için muhtemelen uygunsuz ayarlardan veya Redis uygulamasındaki bir güvenlik açığından yararlandıkları.
“Bu tür kötü amaçlı yazılım türleri saldırı Redis sunucuları ASEC araştırmacısı Sanseo, gönderisinde, kimlik doğrulama özelliği devre dışı bırakılarak internette halka açık olduğunu yazdı. “Tehdit aktörleri, Redis’e erişim kazandıktan sonra, bilinen saldırı yöntemlerini kullanarak kötü amaçlı yazılım yükleyebilir.”
Meterpreter, meşru Metasploit pen-test aracının, tehdit aktörlerinin çeşitli verileri getirmesine olanak tanıyan bir özelliğidir. Metasploit modülleriASEC’e göre, . Metasploit, Cobalt Strike’a benzeyen ve tehdit aktörleri tarafından saldırı gerçekleştirmek için sıklıkla kötüye kullanılan bir araçtır.
Senseo, “Metasploit yüklendiğinde, tehdit aktörü virüslü sistemin kontrolünü ele geçirebilir ve aynı zamanda kötü amaçlı yazılımın sunduğu çeşitli özellikleri kullanarak bir kuruluşun iç ağına hakim olabilir” dedi.
Nasıl Yapılır?
Redis, bulut ortamlarında çeşitli şekillerde giderek daha fazla kullanılan, açık kaynaklı, bellek içi veri yapısı depolama hizmetidir; ASEC’e göre birincil amacı genellikle oturum yönetimi, mesaj aracısı ve kuyruklardır. Bu artan yaygınlık aynı zamanda daha popüler bir hedef bir dizi kötü amaçlı yazılımı yaymak için savunmasız Redis sunucularını kötüye kullanan saldırganlar için akrabalıkP2PInfect, Skidmap, Migo ve HeadCrab.
Metasploit Meterpreter’ı kullanarak aktörlerin Redis’e erişim sağladıktan sonra kötü amaçlı yazılım yaymak için kullanabileceği iki ana saldırı yöntemi vardır. Bunlardan biri, kötü amaçlı yazılım çalıştıran komutu bir Cron görevi olarak kaydetmek, diğeri ise komutu, kötü amaçlı yazılımın bulunduğu Redis sunucusunun Slave sunucusu olarak ayarlamak için SLAVEOF komutunu kullanmaktır.
ASEC, 2016 yılında geliştirilen Redis 3.x sürümüyle birlikte Windows kullanan bir sistemi hedef alan bir saldırıya tanık oldu. Kötüye kullanılan platformun yaşı, “yanlış yapılandırmayı kötüye kullanan saldırılara veya bilinen güvenlik açıklarına yönelik saldırılara karşı muhtemelen savunmasız olduğu” anlamına geliyor, Senseo kayıt edilmiş.
Saldırıda tehdit aktörü ilk olarak Redis’in kurulum yoluna bir ayrıcalık yükseltme aracı olan PrintSpoofer’ı indirdi. Saldırganlar bu aracı genellikle düzgün yönetilmeyen veya son sürüme yama yapılmamış, savunmasız hizmetlere karşı kullanır; Aslında ASEC, geçen yılın ikinci yarısından bu yana Redis’e yönelik bu tür saldırılara tanık oldu.
Senseo, “Geçmişteki vakalarla şimdiki vakalar arasındaki fark, PrintSpoofer’ın PowerShell yerine CertUtil aracı kullanılarak kurulmasıdır” diye açıkladı.
Kötü Amaçlı Arka Kapı Olarak Meterpreter
Tehdit aktörü, PrintSpoofer’ı yükledikten sonra, iki modül türünden biri olan Meterpreter Stager’ı kurdu; aralarındaki fark, yüklenme şekline bağlıdır. Meterpreter, Metasploit aracı için, Beacon ise Cobalt Strike için aynı anlama sahiptir.
Bir saldırganın Stager kullanması, kurulumun, Meterpreter’ı doğrudan saldırganın komut ve kontrol (C2) sunucusundan indiren aşamalı sürüm aracılığıyla yapıldığı anlamına gelir. ASEC’e göre bu, veri yükünün içinde “kademesiz” bir şekilde indirerek kapladığı alanı azaltır.
Senseo, bu süreç tamamlandıktan sonra, Meterpreter’ın bellekte çalıştırıldığını ve bu sayede tehdit aktörünün virüs bulaşmış sistem üzerinde kontrolü ele geçirmesine ve “aynı zamanda kötü amaçlı yazılımın sunduğu çeşitli özellikleri kullanarak bir kuruluşun dahili ağına hakim olmasına” olanak tanıdığını yazdı.
Şimdi güncelle
ASEC, ağ yöneticilerinin sistemdeki tehdidin kanıtlarını tanımlamasına yardımcı olmak için gönderisine, saldırının riske girdiğine dair dosyaların, davranışların ve göstergelerin bir listesini ekledi.
ASEC, saldırı vektörünün tehlikeye atılmasını önlemek için, Redis 3.x’in yüklü olduğu ortam yöneticilerine, bilinen güvenlik açıklarından yararlanılamayacağından emin olmak için en azından sunucuyu mevcut yamalarla hemen güncellemelerini tavsiye etti. Ancak en iyi senaryo, V3’ü sunucunun en son sürümüne güncellemek olacaktır.
Yöneticiler ayrıca harici erişimi kısıtlayan güvenlik koruma yazılımını da yüklemelidir. Redis sunucuları ASEC, bunların tespit edilememesi ve kötüye kullanılmaması için internete açık olmasını tavsiye etti.