بدافزار HeadCrab
یک بدافزار جدید و بسیار مخفی به نام HeadCrab سرورهای Redis را به صورت آنلاین آلوده کرده و یک بات نت برای استخراج ارز دیجیتال Monero ایجاد کرده است. بدافزار Th HeadCrabe در به خطر انداختن بیش از 1200 سرور Redis موفق بوده است که از آنها برای جستجوی اهداف بیشتر استفاده می کند. عوامل تهدید پیچیده پشت HeadCrab بدافزار سفارشی ساخته اند که بسیار پیشرفته است و به راحتی توسط راه حل های سنتی ضد بدافزار یا سیستم های بدون عامل قابل شناسایی نیست. جزئیات مربوط به بدافزار HeadCrab و عملیات تهدید آمیز در گزارشی توسط محققان infosec منتشر شد.
ناقل عفونت توسط بدافزار HeadCrab مورد سوء استفاده قرار گرفت
مهاجمان پشت این بات نت از یک آسیب پذیری در سرورهای Redis سوء استفاده می کنند که برای استفاده داخلی در شبکه سازمان طراحی شده است و به طور پیش فرض فاقد احراز هویت است. اگر سرپرستان نتوانند سرورهای خود را به درستی ایمن کنند و آنها را به طور تصادفی یا عمدی از طریق اینترنت در دسترس قرار دهند، مهاجمان می توانند به راحتی با استفاده از ابزارهای تهدید کننده یا بدافزار کنترل را به دست آورند. هنگامی که آنها به این سرورهای احراز هویت نشده دسترسی پیدا کردند، مهاجمان فرمان "SLAVEOF" را برای همگام سازی سرور با سرور اصلی تحت کنترل خود صادر می کنند و به آنها اجازه می دهد تا بدافزار HeadCrab را در سیستم تازه ربوده شده مستقر کنند.
قابلیت های مضر بدافزار HeadCrab
پس از نصب و فعالسازی، HeadCrab طیف کاملی از تواناییهای لازم را به مهاجمان میدهد تا سرور مورد نظر را تصاحب کنند و آن را در باتنت استخراج رمزنگاری خود بگنجانند. این در حافظه دستگاه های در معرض خطر برای طفره رفتن از اسکن های ضد بدافزار عمل می کند. بدافزار HeadCrab تمام گزارشها را حذف میکند و فقط با سرورهای دیگر که توسط اپراتورهای خود کنترل میشوند ارتباط برقرار میکند تا از شناسایی فرار کند.
مهاجمان برای جلوگیری از شناسایی و به حداقل رساندن خطر مسدود شدن توسط راه حل های امنیتی، با آدرس های IP معتبر، در درجه اول سرورهای آلوده دیگر خود ارتباط برقرار می کنند. علاوه بر این، بدافزار HeadCrab بیشتر مبتنی بر فرآیندهای Redis است. این فرآیندها احتمالاً تهدیدآمیز یا مشکوک تلقی نمی شوند. بارگذاریها از طریق فایلهای «memfd» که فقط حافظه دارند، بارگیری میشوند، در حالی که ماژولهای هسته مستقیماً از حافظه بارگیری میشوند تا از نوشتن دیسک جلوگیری شود.
تجزیه و تحلیل آدرس کیف پول رمزنگاری Monero مرتبط با کمپین مخرب HeadCrab نشان داده است که مهاجمان سود سالانه تقریبی 4500 دلار برای هر کارگر به دست می آورند. اگر برآوردها درست باشد، افزایش شدیدی را بیش از 200 دلار معمولی برای هر کارگر مشاهده شده در سایر انواع این عملیات نشان می دهد.