针对Redis的新型恶意软件已显现

目前有一个越来越难对付的威胁最近冒出来了，它一直在渗透并驻留在全球的服务器上。这种被称为HeadCrab的高级威胁利用了一种最先进的定制恶意软件方式，使得该恶意软件无法被无代理和传统的防病毒解决方案检测到，会危害大量 Redis 服务器。HeadCrab僵尸网络已经控制了至少 1,200 台服务器。

什么是 Redis？

Redis是一种开源的内存数据结构存储，可用作数据库、缓存或消息代理。默认情况下，Redis服务器不启用身份验证，旨在运行在安全、封闭的网络上，而非暴露在互联网上。这使得可从Internet访问的默认Redis服务器容易受到未经授权的访问和命令执行的攻击。

Redis集群提供了一种运行Redis安装的方法，其中数据自动划分并存储在多个Redis节点上。在一个集群中，有一个主服务器和一个从服务器，可以方便地复制和同步数据。

默认的Redis命令之一是SLAVEOF，它指定一个服务器作为集群中另一个Redis服务器的从属服务器。当服务器被定义为从服务器时，它将与主服务器同步，包括下载主服务器中存在的任何Redis模块。

近年来，Redis 服务器已成为攻击者的目标，通常是通过错误配置和漏洞。随着 Redis 服务器变得越来越流行，这种攻击的频率也越来越高。

我们不仅发现了HeadCrab恶意软件，还发现了一种在Redis服务器中检测其感染的独特方法。当这一方法应用于暴露在外的服务器时，发现了大约1,200 台活跃的受感染服务器。受害者似乎没有什么共同点，但攻击者似乎主要针对Redis服务器，并且对Redis模块和API有深刻的理解和专业知识，正如恶意软件所展示的那样。

我们注意到攻击者已竭尽全力确保其攻击的隐蔽性。该恶意软件旨在绕过基于卷的扫描，因为它仅在内存中运行，而不存储在磁盘上。此外，使用Redis模块框架和API删除日志。攻击者与合法IP地址（主要是其他受感染的服务器）通信，以逃避检测并降低被安全解决方案列入黑名单的可能性。该恶意软件主要基于不太可能被标记为恶意的Redis进程。有效载荷通过memfd加载，内存文件，内核模块直接从内存加载，避免磁盘写入。这样的方式可以保证数据不会被篡改，也不会出现其他问题。但是，如果你不小心，你可能会发现一个可疑的redis进程，它可能是恶意的。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!