हमलावर इसके 8 साल पुराने संस्करण का उपयोग कर रहे हैं रेडिस ओपन-सोर्स डेटाबेस सर्वर किसी सिस्टम के भीतर होने वाले कारनामों को उजागर करने के लिए मेटास्प्लोइट के मीटरप्रेटर मॉड्यूल का दुर्भावनापूर्ण रूप से उपयोग करना, संभावित रूप से कई अन्य मैलवेयर के अधिग्रहण और वितरण की अनुमति देना।
अहनलैब सिक्योरिटी इंटेलिजेंस सेंटर (एएसईसी) के शोधकर्ताओं ने कहा एक ब्लॉग पोस्ट में हमलावर संभवतः नापाक उपयोग के लिए मीटरप्रेटर वितरित करने के लिए रेडिस के कार्यान्वयन में मौजूद अनुचित सेटिंग्स या भेद्यता का फायदा उठा रहे हैं।
“ऐसे मैलवेयर स्ट्रेन हमला करते हैं रेडिस सर्वर प्रमाणीकरण सुविधा अक्षम होने पर यह इंटरनेट पर जनता के लिए खुला है,'' एएसईसी शोधकर्ता सेंसियो ने पोस्ट में लिखा। "रेडिस तक पहुंच प्राप्त करने के बाद, धमकी देने वाले अभिनेता ज्ञात हमले के तरीकों के माध्यम से मैलवेयर इंस्टॉल कर सकते हैं।"
मीटरप्रेटर वैध मेटास्प्लोइट पेन-टेस्टिंग टूल का एक पहलू है जो खतरे वाले अभिनेताओं को विभिन्न चीजें लाने की अनुमति देता है मेटास्प्लोइट मॉड्यूल, या ASEC के अनुसार, ज्ञात बग के लिए कार्यशील शोषण, और फिर उन्हें लक्षित सिस्टम पर उपयोग करें। मेटास्प्लोइट कोबाल्ट स्ट्राइक के समान एक उपकरण है जिसका उपयोग अक्सर हमलों को अंजाम देने के लिए धमकी देने वाले अभिनेताओं द्वारा किया जाता है।
सेंसियो ने बताया, "जब मेटास्प्लोइट स्थापित होता है, तो खतरा पैदा करने वाला व्यक्ति संक्रमित सिस्टम पर नियंत्रण कर सकता है और मैलवेयर द्वारा पेश की गई विभिन्न सुविधाओं का उपयोग करके किसी संगठन के आंतरिक नेटवर्क पर भी हावी हो सकता है।"
यह कैसे किया है
रेडिस एक खुला स्रोत, इन-मेमोरी डेटा संरचना भंडारण सेवा है जिसका क्लाउड वातावरण में विभिन्न तरीकों से तेजी से उपयोग किया जा रहा है; एएसईसी के अनुसार, इसका प्राथमिक उद्देश्य आम तौर पर सत्र प्रबंधन, संदेश ब्रोकर और कतार के लिए है। यह बढ़ा हुआ प्रचलन भी इसे बना रहा है एक अधिक लोकप्रिय लक्ष्य हमलावरों के लिए, जिन्होंने कई मैलवेयर फैलाने के लिए कमजोर रेडिस सर्वर का दुरुपयोग किया है किंसिंग, P2PInfect, स्किडमैप, Migo, और हेडक्रैब।
मेटास्प्लोइट मीटरप्रेटर का उपयोग करके, दो मुख्य आक्रमण विधियां हैं जिनका उपयोग अभिनेता रेडिस तक पहुंच प्राप्त करने के बाद मैलवेयर फैलाने के लिए कर सकते हैं। एक मैलवेयर-निष्पादन कमांड को क्रॉन कार्य के रूप में पंजीकृत करना है, और दूसरा मैलवेयर वाले रेडिस सर्वर के स्लेव सर्वर के रूप में कमांड को सेट करने के लिए SLAVEOF कमांड का उपयोग करना है।
एएसईसी ने एक ऐसे सिस्टम को निशाना बनाते हुए हमला देखा, जो संस्करण रेडिस 3.x के साथ-साथ विंडोज का उपयोग करता था, जिसे 2016 में विकसित किया गया था। दुरुपयोग किए गए प्लेटफ़ॉर्म की उम्र का मतलब है "यह संभवतः उन हमलों के प्रति संवेदनशील था जो गलत कॉन्फ़िगरेशन का दुरुपयोग करते थे या ज्ञात कमजोरियों पर हमला करते थे," सेंसियो विख्यात।
हमले में, धमकी देने वाले अभिनेता ने सबसे पहले Redis के इंस्टॉलेशन पथ में PrintSpoofer, एक विशेषाधिकार वृद्धि उपकरण डाउनलोड किया। हमलावर अक्सर इस उपकरण का उपयोग उन कमजोर सेवाओं के खिलाफ करते हैं जिन्हें ठीक से प्रबंधित नहीं किया जाता है या जिन्हें हाल के संस्करण में पैच नहीं किया गया है; वास्तव में, एएसईसी ने पिछले साल की दूसरी छमाही से रेडिस के खिलाफ इन हमलों की बाढ़ देखी है।
"अतीत के मामलों और अब के मामलों के बीच अंतर यह है कि PrintSpoofer को PowerShell के बजाय CertUtil टूल का उपयोग करके स्थापित किया गया है," सेंसियो ने समझाया।
मीटरप्रेटर दुर्भावनापूर्ण पिछले दरवाजे के रूप में
PrintSpoofer स्थापित करने के बाद, खतरे वाले अभिनेता ने मीटरप्रेटर स्टेजर स्थापित किया - दो प्रकार के मॉड्यूल में से एक, जिसके बीच का अंतर इसे स्थापित करने के तरीके पर निर्भर करता है। मीटरप्रेटर मेटास्प्लोइट टूल के लिए है जैसे बीकन कोबाल्ट स्ट्राइक के लिए है।
जब कोई हमलावर स्टेजर का उपयोग करता है, तो इसका मतलब है कि इंस्टॉलेशन चरणबद्ध संस्करण के माध्यम से होता है, जो मीटरप्रेटर को सीधे हमलावर के कमांड-एंड-कंट्रोल (सी2) सर्वर से डाउनलोड करता है। एएसईसी के अनुसार, इससे इसके फ़ुटप्रिंट संस्करण को पेलोड के भीतर "स्टेजलेस" तरीके से डाउनलोड करने में कमी आती है।
एक बार यह प्रक्रिया पूरी हो जाने के बाद, मीटरप्रेटर को मेमोरी में निष्पादित किया जाता है, जो खतरे वाले अभिनेता को संक्रमित सिस्टम पर नियंत्रण लेने की अनुमति देता है और "मैलवेयर द्वारा पेश की गई विभिन्न सुविधाओं का उपयोग करके किसी संगठन के आंतरिक नेटवर्क पर भी हावी हो जाता है," सेंसियो ने लिखा।
अभी अद्यतन करें
एएसईसी ने नेटवर्क प्रशासकों को सिस्टम पर खतरे के साक्ष्य की पहचान करने में मदद करने के लिए अपने पोस्ट में हमले से समझौता करने वाली फाइलों, व्यवहारों और संकेतकों की एक सूची शामिल की।
आक्रमण वेक्टर द्वारा समझौता किए जाने से बचने के लिए, ASEC ने सलाह दी कि Redis 3.x स्थापित वातावरण के प्रशासकों को, कम से कम, उपलब्ध पैच के साथ सर्वर को तुरंत अपडेट करना चाहिए ताकि यह सुनिश्चित हो सके कि ज्ञात कमजोरियों का फायदा नहीं उठाया जा सके। हालाँकि, सबसे अच्छी स्थिति यह होगी कि V3 को सर्वर के नवीनतम संस्करण में अद्यतन किया जाए।
प्रशासकों को सुरक्षा-सुरक्षा सॉफ़्टवेयर भी स्थापित करना चाहिए जो बाहरी पहुंच को प्रतिबंधित करता है रेडिस सर्वर एएसईसी ने सलाह दी कि वे इंटरनेट के लिए खुले हैं ताकि उनकी पहचान न की जा सके और उनका दुरुपयोग न किया जा सके।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/outdated-redis-service-abused-to-spread-meterpreter-backdoor
