HeadCrab 恶意软件

一种名为 HeadCrab 的新型高度隐蔽恶意软件已经在线感染 Redis 服务器，并构建了一个僵尸网络来挖掘 Monero 加密货币。 HeadCrabe 恶意软件已成功入侵 1,200 多台 Redis 服务器，用于搜索更多目标。 HeadCrab 背后的复杂威胁参与者开发了高度先进的定制恶意软件，并且不容易被传统的反恶意软件解决方案或无代理系统检测到。信息安全研究人员在一份报告中发布了有关 HeadCrab 恶意软件和威胁操作的详细信息。

HeadCrab 恶意软件利用的感染媒介

这个僵尸网络背后的攻击者利用了 Redis 服务器中的一个漏洞，该服务器专为组织网络内部使用而设计，默认情况下缺乏身份验证。如果管理员无意或有意地未能正确保护他们的服务器并使它们可以从 Internet 访问，则攻击者可以通过使用威胁性工具或恶意软件轻松获得控制权。一旦他们可以访问这些未经身份验证的服务器，攻击者就会发出“SLAVEOF”命令，将服务器与他们控制下的主服务器同步，从而允许他们将 HeadCrab 恶意软件部署到新被劫持的系统上。

HeadCrab 恶意软件的有害功能

一旦安装并激活，HeadCrab 就会为攻击者提供接管目标服务器并将其整合到他们的加密挖矿僵尸网络中所需的全部能力。它在受感染设备的内存中运行，以躲避反恶意软件扫描。 HeadCrab 恶意软件消除了所有日志，只与其操作员控制的其他服务器通信以逃避检测。

攻击者与真实的 IP 地址（主要是他们的其他受感染服务器）通信，以逃避检测并将被安全解决方案阻止的风险降至最低。此外，HeadCrab 恶意软件主要基于 Redis 进程。这些过程不太可能被视为具有威胁性或可疑性。有效载荷通过“memfd”（仅内存文件）加载，而内核模块直接从内存加载，以避免磁盘写入。

对与 HeadCrab 恶意软件活动相关的 Monero 加密钱包地址的分析表明，攻击者每年从每个工人那里赚取大约 4,500 美元的利润。如果估计是正确的，它显示出比在其他这些操作类型中观察到的典型的每名工人 200 美元大幅增加。