新恶意活动揭示：Redis 服务器遭受攻击

Cado Security的专家们发现了一场新的恶意活动，目标是Redis服务器。一旦攻击者获得了系统的初始访问权限，他们就会在受感染的Linux主机上挖掘加密货币。

根据研究人员之一Matt Muir的说法，这次攻击活动采用了几种新的方法来削弱服务器的防御力量。具体来说，它涉及禁用诸如protected-mode、replica-read-only、aof-rewrite-incremental-fsync和rdb-save-incremental-fsync等配置参数。这种策略使黑客能够从外部网络发出额外的命令，并促使他们利用漏洞而不引起不必要的注意。

Redis蜜罐传感器观察到了禁用保护模式命令

在禁用了保护机制之后，攻击者会在系统中安装两个特定的密钥。第一个密钥包含了一个下载恶意程序Migo的链接。

第二个密钥启动了一个定期连接到Transfer.sh服务并从那里下载Migo更新版本的Cron作业。这个允许匿名和免费文件共享的服务在2023年初的类似攻击中被攻击者所利用。

因此，攻击者能够定期上传新版本的恶意软件或其他他们选择的工具到受感染的服务器。

Migo采用了各种混淆方法，使得逆向工程和程序分析变得困难。

Migo的主要功能是下载并执行XMRig挖矿程序。此外，该程序还执行了几项其他关键任务：它确保在系统中持续存在，安排启动，阻止竞争挖矿软件，并在受感染设备上启动挖矿过程。

该工具还禁用了Linux中的SELinux子系统，该子系统负责高级安全机制。没有SELinux，Migo就可以自由操作。

Migo搜索并消除了设计用于卸载系统监控代理的脚本。此类代理通常由云主机提供商实施，以保护其基础架构。

为了掩盖正在运行的进程和文件中的痕迹，Migo使用了一个修改过的流行Linux rootkit libprocesshider的版本。Rootkit允许将恶意程序从标准检测工具中隐藏起来。

正如Muir所指出的，Migo的策略与其他知名黑客组织，如TeamTNT、WatchDog和Rocke使用的方法有很大重叠。

Cado Security分析师观察到，攻击者不断创建和完善用于攻击流行Web平台和服务的恶意工具。

鉴于这种网络威胁，Cado Security建议Redis服务器管理员和其他常见的Web应用程序运营者提高警惕，并及时了解防护措施的更新。

The post 新恶意活动揭示：Redis 服务器遭受攻击 first appeared on Linux迷.