用户模式的​​Rootkit恶意软件Migo隐藏于Linux，利用Redis进行加密劫持

新的“Migo”恶意软件针对Linux服务器，利用Redis进行加密劫持。使用用户模式​​Rootkit隐藏其活动，使检测变得困难。保护您的Redi 服务器并保持警惕！

Cado安全实验室透露，已发现针对流行数据存储系统Redis的复杂Linux恶意软件活动，以使用“系统弱化命令”获得初始访问权限。

Cado研究人员透露，这款名为Migo的恶意软件利用Redis进行加密劫持。攻击者在目标的Redis服务器上执行命令以禁用配置选项，并使它们在部署有效负载之前容易受到攻击。

主要有效负载Migo是一个Golang ELF二进制文件，可从GitHub检索XMRig安装程序。Redis系统弱化命令用于禁用配置选项，例如保护模式和副本只读，使用CLI命令从Pastebin等外部源执行恶意负载，以在后台挖掘加密货币。

供您参考，保护模式是3.2.0版本中引入的Redis服务器操作模式，用于减轻潜在的网络暴露。它只接受来自环回接口的连接，并且可能在初始访问时被禁用，以允许攻击者发送其他命令。

相反，Redis中的副本只读功能可防止意外写入副本，从而导致不同步。Cado研究人员报告称，Migo攻击者可能会利用此功能进行恶意有效负载传输，以便在将来利用Redis服务器时禁用此功能。

Migo使用编译时混淆和用户模式​​rootkit“libprocesshider”来隐藏进程和工件，使安全分析师难以检测和减轻威胁。安装矿工后，Migo设置XMRig的配置来查询系统信息，包括登录用户和资源限制。

“它还使用vm.nr_hugepages参数将系统上可用的大页数设置为128。这些行为对于加密劫持恶意软件来说是相当典型的，”Cado Security的安全研究员Matt Muir在一篇博客文章中指出。

它执行shell命令来复制二进制文件、禁用SELinux、识别卸载脚本、执行挖矿程序、终止竞争进程、注册持久性以及阻止到特定IP地址和域的出站流量。

此外，Migo依赖于systemd服务和计时器来实现持久性，并且开发人员混淆了pclntab结构中的符号和字符串，使恶意软件分析过程变得复杂。用户模式​​Rootkit的参与也使受感染主机的事后取证变得复杂，并且libprocesshider隐藏了磁盘上的伪影。

Migo的出现表明，以云为中心的攻击者正在不断完善他们的技术，并专注于利用面向Web的服务。研究人员得出结论，他们使用Redis系统弱化命令来禁用安全功能，这一举动此前在利用Redis进行初始访问的活动中未曾报道过。