基于Go语言的恶意软件通过Redis配置滥用向Linux主机部署XMRig挖矿程序
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
网络安全研究人员发现了一种名为RedisRaider的新型恶意软件,利用合法命令注入Redis服务器的定时任务,部署XMRig挖矿程序。攻击者扫描公开的Redis实例,修改配置以下载恶意载荷,并扩展攻击范围,同时采取反取证措施以降低被检测的概率。
🎯
关键要点
- 网络安全研究人员发现新型恶意软件RedisRaider,针对公开Redis服务器进行加密货币挖矿攻击。
- RedisRaider通过扫描IPv4地址段,利用Redis配置命令执行恶意定时任务,部署XMRig挖矿程序。
- 攻击者使用定制扫描器识别公开Redis服务器,并通过INFO命令确认目标是否为Linux主机。
- 恶意软件通过CONFIG命令更改Redis工作目录,写入定时任务以下载RedisRaider二进制文件。
- RedisRaider不仅劫持服务器端加密货币,还托管基于Web的Monero挖矿程序,形成多管齐下的盈利策略。
- 该攻击活动采用反取证措施,如设置短密钥生存时间和修改数据库配置,以降低检测概率。
- Guardz曝光了利用Microsoft Entra ID旧版认证协议实施的定向攻击,攻击者绕过多因素认证。
- 攻击主要源自东欧和亚太地区,针对使用旧版认证端点的管理员账户,表现出高度自动化的攻击模式。
- 建议通过条件访问策略阻止旧版认证,禁用BAV2ROPC,关闭Exchange Online中的SMTP AUTH功能以降低攻击风险。
❓
延伸问答
RedisRaider恶意软件是如何工作的?
RedisRaider通过扫描公开的Redis服务器,利用合法的Redis配置命令注入恶意定时任务,最终部署XMRig挖矿程序。
攻击者如何识别目标Redis服务器?
攻击者使用定制扫描器识别公开的Redis服务器,并通过INFO命令确认目标是否为Linux主机。
RedisRaider使用了哪些反取证措施?
RedisRaider采用短密钥生存时间和修改数据库配置等反取证措施,以降低被检测的概率。
RedisRaider的攻击主要来自哪些地区?
攻击主要源自东欧和亚太地区,针对使用旧版认证端点的管理员账户。
如何防御RedisRaider的攻击?
建议通过条件访问策略阻止旧版认证,禁用BAV2ROPC,并关闭Exchange Online中的SMTP AUTH功能以降低攻击风险。
RedisRaider的盈利策略是什么?
RedisRaider不仅劫持服务器端加密货币,还托管基于Web的Monero挖矿程序,形成多管齐下的盈利策略。
➡️
