HeadCrab 惡意軟件

一種名為 HeadCrab 的新型高度隱蔽惡意軟件已經在線感染 Redis 服務器，並構建了一個殭屍網絡來挖掘 Monero 加密貨幣。 HeadCrabe 惡意軟件已成功入侵 1,200 多台 Redis 服務器，用於搜索更多目標。 HeadCrab 背後的老練威脅參與者開發了高度先進且不容易被傳統反惡意軟件解決方案或無代理系統檢測到的定制惡意軟件。信息安全研究人員在一份報告中發布了有關 HeadCrab 惡意軟件和威脅操作的詳細信息。

HeadCrab 惡意軟件利用的感染媒介

這個殭屍網絡背後的攻擊者利用了 Redis 服務器中的一個漏洞，該服務器專為組織網絡內部使用而設計，默認情況下缺乏身份驗證。如果管理員無意或有意地未能正確保護他們的服務器並使它們可以從 Internet 訪問，攻擊者可以通過使用威脅性工具或惡意軟件輕鬆獲得控制權。一旦他們可以訪問這些未經身份驗證的服務器，攻擊者就會發出“SLAVEOF”命令，將服務器與他們控制下的主服務器同步，從而允許他們將 HeadCrab 惡意軟件部署到新被劫持的系統上。

HeadCrab 惡意軟件的有害功能

一旦安裝並激活，HeadCrab 就會為攻擊者提供接管目標服務器並將其整合到他們的加密挖礦殭屍網絡中所需的全部能力。它在受感染設備的內存中運行，以躲避反惡意軟件掃描。 HeadCrab 惡意軟件消除了所有日誌，只與其操作員控制的其他服務器通信以逃避檢測。

攻擊者與真實的 IP 地址（主要是他們的其他受感染服務器）通信，以逃避檢測並將被安全解決方案阻止的風險降至最低。此外，HeadCrab 惡意軟件主要基於 Redis 進程。這些過程不太可能被視為具有威脅性或可疑性。有效載荷通過“memfd”（僅內存文件）加載，而內核模塊直接從內存加載，以避免磁盤寫入。

對與 HeadCrab 惡意軟件活動相關的 Monero 加密錢包地址的分析表明，攻擊者每年從每個工人那裡賺取大約 4,500 美元的利潤。如果估計是正確的，它顯示出比在其他這些操作類型中觀察到的典型的每名工人 200 美元大幅增加。