新款名叫 Redigo 的病毒已在 Redis 服务中植入秘密后门

一种新型恶势力程序，在研究中代号为 Redigo，其利用的是 Go 这种语言，它一直针对有CVE-2022-0543漏洞的Redis服务器，并植入一个隐秘的后门允许命令执行。

AquaSec说，Redigo攻击从6379端口的扫描开始，以定位暴露在开放网络上的Redis服务器。找到目标端点后，atacker连接并运行以下命令:

INFO - 检查Redis的版本，以确定服务器是否有CVE-2022-0543的漏洞。SLAVEOF - 创建一个攻击服务器的副本。REPLCONF - 配置从攻击服务器到新创建副本的连接。PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。MODULE LOAD - 从下载的动态库中加载模块，该模块能够执行任意命令并利用CVE-2022-0543。SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。

攻击者通过6379端口模拟正常的Redis通信，以逃避网络分析工具的检测，服务器同时试图同步地隐藏任何的来自Redigo的命令和控制连接到服务器的所谓的流量。

由于AquaSec公司蜜罐的攻击时间限制，其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。

此外，由于Redis是一个数据库，访问数据并窃取它也可能是Redigo攻击的目的。因此，我们必须了解这些问题，以确保我们的系统不会成为下一个受害者。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!