CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Un nou malware denumit Migo dezactivează funcțiile de protecție ale serverelor Redis

Sursa: https://thehackernews.com/

Cercetătorii în securitate au descoperit o nouă campanie care vizează serverele Redis pe sisteme de operare Linux folosind un malware numit Migo pentru a mina criptomonede.

Redis (Remote Dictionary Server) este un magazin de structuri de date utilizat ca bază de date, cache și intermediar de mesaje cunoscut pentru performanța sa ridicată, operând mii de cereri pe secundă pentru aplicații în timp real în industrii precum jocuri, tehnologie, servicii financiare și sănătate.

Ceea ce este interesant la noua variantă de malware este modalitatea de dezactivare a funcțiilor de securitate Redis, permițând activităților de cryptojacking să continue pentru perioade extinse.

După compromiterea serverelor Redis expuse, atacatorii dezactivează caracteristicile de securitate critice pentru a permite primirea comenzilor ulterioare.

Au fost dezactivate următoarele opțiuni de configurare prin CLI Redis:

  • set protected-mode: dezactivarea acesteia permite accesul extern la serverul Redis, astfel încât un atacator poate să execute comenzi malitioase de la distanță.
  • replica-read-only: dezactivarea acesteia permite atacatorilor scrierea directă pe replici și să răspândirea de payload-uri sau modificări de date într-o configurație Redis distribuită.
  • aof-rewrite-incremental-fsync: dezactivarea poate duce la o încărcare IO mai mare în timpul rescrierii fișierului append-only file (AOF).
  • rdb-save-incremental-fsync: dezactivarea poate cauza scăderea performanței în timpul salvărilor de snapshot-uri RDB, permițând efectuarea de atacuri denial-of-service (DoS) sau să își asigure persistența.

Funcția principală a lui Migo este de a prelua, instala și lansa un miner modificat XMRig (Monero) pe terminalul compromis direct din CDN-ul GitHub.

Malware-ul stabilește persistență pentru miner creând un serviciu systemd și cronometru asociat, asigurându-se că rulează continuu, minând criptomonede în contul atacatorului.

Migo folosește un rootkit pentru a-și ascunde procesele și fișierele, astfel încât detectarea și eliminarea lui să fie cât mai greu de realizat.

Malware-ul modifică ‘/etc/ld.so.preload’ pentru a intercepta și altera comportamentul instrumentelor de sistem care listează procesele și fișierele, ascunzându-și efectiv prezența.

La final Migo configurează reguli de firewall pentru a bloca traficul de ieșire către anumite IP-uri și execută comenzi pentru a dezactiva SELinux, a căuta și a dezactiva agenții de monitorizare ai furnizorului de cloud și a elimina mineri sau sarcini malitioase concurente. De asemenea, modifică /etc/hosts pentru a opri comunicarea cu furnizorii de servicii cloud.

Sursa: https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |