用户模式的Rootkit恶意软件Migo隐藏于Linux,利用Redis进行加密劫持
新的“Migo”恶意软件针对Linux服务器,利用Redis进行加密劫持。使用用户模式Rootkit隐藏其活动,使检测变得困难。保护您的Redi 服务器并保持警惕!
Cado安全实验室透露,已发现针对流行数据存储系统Redis的复杂Linux恶意软件活动,以使用“系统弱化命令”获得初始访问权限。
Cado研究人员透露,这款名为Migo的恶意软件利用Redis进行加密劫持。攻击者在目标的Redis服务器上执行命令以禁用配置选项,并使它们在部署有效负载之前容易受到攻击。
主要有效负载Migo是一个Golang ELF二进制文件,可从GitHub检索XMRig安装程序。Redis系统弱化命令用于禁用配置选项,例如保护模式和副本只读,使用CLI命令从Pastebin等外部源执行恶意负载,以在后台挖掘加密货币。
供您参考,保护模式是3.2.0版本中引入的Redis服务器操作模式,用于减轻潜在的网络暴露。它只接受来自环回接口的连接,并且可能在初始访问时被禁用,以允许攻击者发送其他命令。
相反,Redis中的副本只读功能可防止意外写入副本,从而导致不同步。Cado研究人员报告称,Migo攻击者可能会利用此功能进行恶意有效负载传输,以便在将来利用Redis服务器时禁用此功能。
Migo使用编译时混淆和用户模式rootkit“libprocesshider”来隐藏进程和工件,使安全分析师难以检测和减轻威胁。安装矿工后,Migo设置XMRig的配置来查询系统信息,包括登录用户和资源限制。
“它还使用vm.nr_hugepages参数将系统上可用的大页数设置为128。这些行为对于加密劫持恶意软件来说是相当典型的,”Cado Security的安全研究员Matt Muir在一篇博客文章中指出。
它执行shell命令来复制二进制文件、禁用SELinux、识别卸载脚本、执行挖矿程序、终止竞争进程、注册持久性以及阻止到特定IP地址和域的出站流量。
此外,Migo依赖于systemd服务和计时器来实现持久性,并且开发人员混淆了pclntab结构中的符号和字符串,使恶意软件分析过程变得复杂。用户模式Rootkit的参与也使受感染主机的事后取证变得复杂,并且libprocesshider隐藏了磁盘上的伪影。
Migo的出现表明,以云为中心的攻击者正在不断完善他们的技术,并专注于利用面向Web的服务。研究人员得出结论,他们使用Redis系统弱化命令来禁用安全功能,这一举动此前在利用Redis进行初始访问的活动中未曾报道过。