HeadCrab Malware

En ny, meget snigende malware kaldet HeadCrab har inficeret Redis-servere online og opbygget et botnet til at udvinde Monero-cryptocurrency. Th HeadCrabe malware har haft succes med at kompromittere over 1.200 Redis-servere, som den bruger til at søge efter flere mål. De sofistikerede trusselsaktører bag HeadCrab har udviklet skræddersyet malware, der er meget avanceret og ikke let opdages af traditionelle anti-malware-løsninger eller agentløse systemer. Detaljer om HeadCrab-malwaren og de truende operationer blev offentliggjort i en rapport fra infosec-forskere.

Infektionsvektor udnyttet af HeadCrab Malware

Angriberne bag dette botnet udnytter en sårbarhed i Redis-servere, som er designet til intern brug i en organisations netværk og mangler godkendelse som standard. Hvis administratorer undlader at sikre deres servere ordentligt og gøre dem tilgængelige fra internettet, enten ved et uheld eller med vilje, kan angriberne nemt få kontrol ved at bruge truende værktøjer eller malware. Når de først har adgang til disse uautentificerede servere, udsteder angriberne en "SLAVEOF"-kommando for at synkronisere serveren med en masterserver under deres kontrol, hvilket giver dem mulighed for at implementere HeadCrab-malwaren på det nyligt kaprede system.

HeadCrab Malwares skadelige egenskaber

Når det er installeret og aktiveret, giver HeadCrab angriberne et komplet udvalg af evner, der er nødvendige for at overtage den målrettede server og inkorporere den i deres crypto-mining botnet. Det fungerer i hukommelsen på kompromitterede enheder for at undvige anti-malware-scanninger. HeadCrab-malwaren eliminerer alle logfiler og kommunikerer kun med andre servere, der kontrolleres af dens operatører, for at undgå registrering.

Angriberne kommunikerer med autentiske IP-adresser, primært deres andre kontaminerede servere, for at undgå registrering og minimere risikoen for at blive blokeret af sikkerhedsløsninger. Derudover er HeadCrab Malware for det meste baseret på Redis-processer. Disse processer vil sandsynligvis ikke blive betragtet som truende eller mistænkelige. Nyttelasterne indlæses gennem 'memfd' filer, der kun indeholder hukommelse, mens kernemoduler indlæses direkte fra hukommelsen som en måde at undgå diskskrivning.

Analyse af Monero-crypto-wallet-adressen, der er forbundet med HeadCrab Malware-kampagnen, har afsløret, at angriberne indkasserer et omtrentligt årligt overskud på $4.500 pr. Hvis estimaterne er korrekte, viser det en drastisk stigning i forhold til de typiske $200 pr. arbejder, der er observeret i andre af disse operationstyper.