Bilinmeyen bir tehdit aktörü, aracısız ve geleneksel antivirüs araçları tarafından neredeyse tespit edilemeyen özel yapım bir kötü amaçlı yazılım varyantı kullanarak, yıllardır dünyanın dört bir yanındaki açık kaynaklı Redis sunucularında sessizce Monero kripto para madenciliği yapıyor.
Eylül 2021’den bu yana tehdit aktörü, çoğu küçük binlerce kuruluşun veritabanı veya önbellek olarak kullandığı en az 1.200 Redis sunucusunun güvenliğini ihlal etti ve bunlar üzerinde tam kontrol sağladı. Bir saldırı bal küplerinden birine çarptığında kampanyayı tespit eden Aqua Nautilus araştırmacıları, kötü amaçlı yazılımı “HeadCrab” olarak izliyor.
Sofistike, Bellekte Yerleşik Kötü Amaçlı Yazılım
Bu haftaki bir blog gönderisinde, güvenlik satıcısı HeadCrab’ı İnternet’e bağlı Redis sunucuları için sürekli bir tehdit oluşturan, bellekte yerleşik kötü amaçlı yazılım olarak tanımladı. Bu sunucuların çoğu, güvenli, kapalı ağlarda çalışacak şekilde tasarlandıklarından varsayılan olarak kimlik doğrulaması etkin değildir.
Aqua’nın HeadCrab’ın analizi kötü amaçlı yazılımın, bir Redis Kümesi içindeki birden fazla düğümde depolanan verileri kopyalarken ve senkronize ederken Redis’in nasıl çalıştığından yararlanmak için tasarlandığını gösterdi. İşlem, temel olarak yöneticilerin bir Redis Kümesi içindeki bir sunucuyu küme içindeki başka bir “ana” sunucuya “köle” olarak atamasına izin veren bir komutu içerir. Bağımlı sunucular, ana sunucuyla senkronize olur ve ana sunucuda bulunabilecek modülleri indirmek de dahil olmak üzere çeşitli eylemler gerçekleştirir. Redis modülleri, yöneticilerin bir Redis sunucusunun işlevselliğini geliştirmek için kullanabileceği yürütülebilir dosyalardır.
Aqua’nın araştırmacıları, HeadCrab’in İnternet’e açık Redis sistemlerine bir kripto para madencisi yüklemek için bu süreçten yararlandığını buldu. Bal küpüne yapılan saldırıyla, örneğin tehdit aktörü, Aqua bal küpünü saldırgan tarafından kontrol edilen ana Redis sunucusunun kölesi olarak belirlemek için meşru SLAVEOF Redis komutunu kullandı. Ana sunucu daha sonra, tehdit aktörünün HeadCrab kötü amaçlı yazılımını içeren kötü amaçlı bir Redis modülünü indirdiği bir senkronizasyon işlemi başlattı.
Aqua’da güvenlik araştırmacısı olan Asaf Eitani, HeadCrab’ın çeşitli özelliklerinin Redis ortamlarına yüksek derecede karmaşıklık ve aşinalık gösterdiğini söylüyor.
Bunun en büyük işaretlerinden biri, Redis modül çerçevesinin kötü amaçlı eylemler gerçekleştirmek için bir araç olarak kullanılmasıdır – bu durumda, kötü amaçlı yazılımın indirilmesi. Eitani, kötü amaçlı yazılımın meşru gibi görünen ancak güvenliği ihlal edilmiş bir sunucuda barındırılan, saldırgan tarafından kontrol edilen bir komut ve kontrol sunucusuyla (C2) iletişim kurmak için Redis API’sini kullanmasının da önemli olduğunu söylüyor.
“Kötü amaçlı yazılım, operatörüyle iletişim kurmak için büyük ölçüde Redis Modüllerinin API kullanımına dayandığından Redis sunucuları için özel olarak oluşturulmuştur” diye belirtiyor.
HeadCrab, güvenliği ihlal edilmiş sistemlerde gizli kalmak için gelişmiş karartma özellikleri uygular, 50’den fazla eylemi tamamen dosyasız bir şekilde yürütür ve ikili dosyaları yürütmek ve algılamadan kaçmak için dinamik bir yükleyici kullanır. Eitani, “Tehdit aktörü, Redis hizmetinin varlığını gizlemek ve diğer tehdit aktörlerinin yürütme elde etmek için kullandığı yanlış yapılandırmayla sunucuya bulaşmasını önlemek için normal davranışını da değiştiriyor” diyor. “Genel olarak, kötü amaçlı yazılım çok karmaşık ve savunuculara üstünlük sağlamak için birden fazla yöntem kullanıyor.”
Kötü amaçlı yazılım, kripto madenciliği için optimize edilmiştir ve Redis sunucuları için özel olarak tasarlanmış görünmektedir. Ancak Eitani, çok daha fazlasını yapmak için yerleşik seçeneklere sahip olduğunu söylüyor. Örnek olarak, HeadCrab’ın diğer sunuculara sızmak ve potansiyel olarak veri çalmak için SSH anahtarlarını çalma yeteneğine ve ayrıca bir sunucunun çekirdeğini tamamen tehlikeye atmak için dosyasız bir çekirdek modülü yükleme yeteneğine işaret ediyor.
Aqua’nın tehdit lider analisti Assaf Morag, şirketin saldırıları bilinen herhangi bir tehdit aktörüne veya aktör grubuna atfedemediğini söylüyor. Ancak, Redis sunucularını kullanan kuruluşların sistemlerinde HeadCrab tespit etmeleri halinde tam bir ihlal olduğunu varsaymaları gerektiğini önermektedir.
Morag, “Redis yapılandırma dosyalarınızı tarayarak ortamlarınızı sağlamlaştırın, sunucunun kimlik doğrulaması gerektirdiğinden ve gerekmedikçe “slaveof” komutlarına izin vermediğinden emin olun ve gerekmedikçe sunucuyu İnternet’e maruz bırakmayın.”
Morag, bir Shodan aramasının internete bağlı 42.000’den fazla Redis sunucusu gösterdiğini söylüyor. Bunlardan yaklaşık 20.000 sunucu bir tür erişime izin verdi ve potansiyel olarak bir kaba kuvvet saldırısı veya güvenlik açığı istismarından etkilenebilir, diyor.
HeadCrab, Aqua’nın son aylarda bildirdiği ikinci Redis hedefli kötü amaçlı yazılımdır. Aralık ayında, güvenlik satıcısı keşfetti Redigo, bir Redis arka kapısı Go dilinde yazılmıştır. HeadCrab’da olduğu gibi Aqua da kötü amaçlı yazılımı, tehdit aktörleri savunmasız bir Redis bal küpüne yüklediğinde keşfetti.
Aqua’nın blog gönderisine göre, “Son yıllarda Redis sunucuları, genellikle yanlış yapılandırma ve güvenlik açıkları nedeniyle saldırganlar tarafından hedef alındı.” “Redis sunucuları daha popüler hale geldikçe, saldırıların sıklığı arttı.”
