【威胁预警】Redis挖矿病毒预警

BaCde  150天前

通过白帽汇安全研究院监测发现,近1个多月以来Redis挖矿病毒日益猖獗,出现诸多变种。目前已有国外安全研究人员曝出一款挖矿病毒。

此次挖矿病毒主要利用的是Redis的未授权访问,通过写入计划任务实现病毒的植入,并从事挖矿活动。目前通过北京华顺信安FOFA系统显示,目前FOFA系统中有超过9万个Redis服务对外开放,其中中国接近一半,形式严峻。需要广大用户警惕,加强Redis安全防护,做好安全防护措施,避免带来不必要的麻烦和损失。

根据FOFA系统数据显示,Redis对外开放中国开放最多主要是中国和美国,中国对外开放接近5万(包含港澳台地区),美国共有21016台对外开放。

国内地区中浙江省开放最多,有超过26000台对外开放;其次是北京,共有8701台;排在第三的是香港特别行政区,共有2183台;第四是广东省,共有2009台。

 

Redis全球网络资产分布情况(仅为分布情况非影响情况)

 

中国网络资产分布情况(仅为分布情况非影响情况)

漏洞原理与危害

由于Redis服务默认开启并不需要认证,同时绑定了0.0.0.0这个地址。在外网服务器运行时,即可对外开放端口。任意攻击者可通过未授权访问的redis,通过写入计划任务或ssh认证密钥的方式来获取系统权限,进而控制服务器进行恶意挖矿等操作。

经过白帽汇安全研究院分析,病毒主要通过Linxu系统的计划任务下载并执行sh脚本,该脚本会结束一些同类进程,并通过iptables关闭Redis对外开放的端口来达到“独享”该服务器的功能。并启动挖矿程序进行挖矿。病毒还利用transfer.sh平台存储相关脚本和文件。白帽汇安全研究院最早在2018年4月10日便发现类似病毒的活动迹象,而通过白帽汇安全研究院监测发现病毒逐渐活跃。

蜜罐程序捕获到的Redis挖矿记录

通过Redis下载并执行的脚本部分内容

修复建议

1、建议Redis端口不对外开放服务,如有必要,请为Redis增加鉴权信息,即添加复杂的密码,同时不要使用弱口令。
2、使用系统自带的防火墙或者iptables等对redis端口进行安全设置。

白帽汇会持续对该漏洞进行跟进。后续可以关注链接。

参考

[1] https://isc.sans.edu/forums/diary/Anatomy+of+a+Redis+mining+worm/23673/


北京华顺信安从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI

nosec.org All Rights Reserved 京ICP备15042518号