Zlonamerna programska oprema HeadCrab

Nova, zelo prikrita zlonamerna programska oprema, imenovana HeadCrab, okužuje strežnike Redis na spletu in gradi botnet za rudarjenje kriptovalute Monero. Zlonamerna programska oprema Th HeadCrabe je uspešno ogrozila več kot 1200 strežnikov Redis, ki jih uporablja za iskanje več tarč. Sofisticirani akterji groženj, ki stojijo za HeadCrabom, so razvili po meri izdelano zlonamerno programsko opremo, ki je zelo napredna in je tradicionalne rešitve proti zlonamerni programski opremi ali sistemi brez agentov ne zaznajo zlahka. Podrobnosti o zlonamerni programski opremi HeadCrab in grozečih operacijah so bile objavljene v poročilu raziskovalcev infosec.

Vektor okužbe, ki ga izkorišča zlonamerna programska oprema HeadCrab

Napadalci za tem botnetom izkoriščajo ranljivost v strežnikih Redis, ki so zasnovani za notranjo uporabo v omrežju organizacije in privzeto nimajo avtentikacije. Če skrbniki ne zavarujejo ustrezno svojih strežnikov in ne omogočijo dostopa do njih prek interneta, slučajno ali namerno, lahko napadalci zlahka pridobijo nadzor z uporabo orodij za grožnje ali zlonamerne programske opreme. Ko imajo dostop do teh nepreverjenih strežnikov, napadalci izdajo ukaz "SLAVEOF" za sinhronizacijo strežnika z glavnim strežnikom pod njihovim nadzorom, kar jim omogoči namestitev zlonamerne programske opreme HeadCrab v na novo ugrabljen sistem.

Škodljive zmožnosti zlonamerne programske opreme HeadCrab

Ko je HeadCrab nameščen in aktiviran, daje napadalcem celoten nabor zmožnosti, potrebnih za prevzem ciljnega strežnika in njegovo vključitev v svoj botnet za kripto rudarjenje. Deluje v pomnilniku ogroženih naprav, da se izogne skeniranju proti zlonamerni programski opremi. Zlonamerna programska oprema HeadCrab odstrani vse dnevnike in komunicira samo z drugimi strežniki, ki jih nadzorujejo njeni operaterji, da se izogne odkrivanju.

Napadalci komunicirajo z avtentičnimi naslovi IP, predvsem z drugimi okuženimi strežniki, da se izognejo odkrivanju in zmanjšajo tveganje, da bi jih varnostne rešitve blokirale. Poleg tega zlonamerna programska oprema HeadCrab večinoma temelji na procesih Redis. Ti procesi verjetno ne bodo obravnavani kot nevarni ali sumljivi. Koristne obremenitve se naložijo prek 'memfd', datotek samo za pomnilnik, medtem ko se moduli jedra naložijo neposredno iz pomnilnika, da se izognemo pisanju na disk.

Analiza naslova kripto denarnice Monero, povezanega s kampanjo zlonamerne programske opreme HeadCrab, je razkrila, da napadalci zaslužijo približno 4500 USD na delavca na letni ravni. Če so ocene pravilne, kaže drastično povečanje v primerjavi z običajnimi 200 USD na delavca, opaženimi pri drugih vrstah teh operacij.