攻撃者は 8 年前のバージョンを使用しています。 Redis オープンソース データベース サーバー Metasploit の Meterpreter モジュールを悪意を持って使用してシステム内のエクスプロイトを公開し、他のマルウェアのホストの乗っ取りや配布を可能にする可能性があります。
アンラボ セキュリティ インテリジェンス センター (ASEC) の研究者らは次のように述べています。 ブログの記事で 攻撃者は、Redis の実装に存在する不適切な設定または脆弱性を悪用して、Meterpreter を不正使用のために配布している可能性があります。
「このようなマルウェアによる攻撃は、 Redisサーバー 認証機能を無効にした状態でインターネット上で公開されている」とASECの研究者サンソ氏は投稿で述べた。 「Redis にアクセスした後、脅威アクターは既知の攻撃方法を通じてマルウェアをインストールする可能性があります。」
Meterpreter は、正規の Metasploit 侵入テスト ツールの一側面であり、脅威アクターがさまざまなファイルを取得できるようにします。 Metasploit モジュールASEC によると、既知のバグに対するエクスプロイトを実行し、それを標的のシステムで使用するというものです。 Metasploit は Cobalt Strike に似たツールで、これも攻撃者によって攻撃を実行するために頻繁に悪用されます。
「Metasploit がインストールされると、攻撃者は感染したシステムを制御し、マルウェアが提供するさまざまな機能を使用して組織の内部ネットワークを支配する可能性があります」と Senseo 氏は説明しました。
それはどのように行われた
Redis は、オープンソースのインメモリ データ構造ストレージ サービスであり、クラウド環境でさまざまな方法で使用されることが増えています。 ASEC によれば、その主な目的は通常、セッション管理、メッセージ ブローカー、キューです。この有病率の増加により、 より人気のあるターゲット 脆弱な Redis サーバーを悪用して、次のような多数のマルウェアを拡散させた攻撃者向け 親しい、P2PInfect、Skidmap、Migo、HeadCrab。
Metasploit Meterpreter を使用すると、Redis にアクセスした攻撃者がマルウェアを拡散するために使用できる主な攻撃方法が 2 つあります。 1 つはマルウェアを実行するコマンドを Cron タスクとして登録する方法、もう 1 つは SLAVEOF コマンドを使用してコマンドをマルウェアが存在する Redis サーバーのスレーブ サーバーとして設定する方法です。
ASEC は、3 年に開発されたバージョン Redis 2016.x とともに Windows を使用するシステムを標的とした攻撃を目撃しました。悪用されたプラットフォームが古かったということは、「構成ミスを悪用した攻撃や既知の脆弱性に対する攻撃に対して脆弱であった可能性が高い」ことを意味しますとセンセオ氏は言います。了解しました。
この攻撃では、攻撃者はまず権限昇格ツールである PrintSpoofer を Redis のインストール パスにダウンロードしました。攻撃者は多くの場合、適切に管理されていない、または最新バージョンにパッチが適用されていない脆弱なサービスに対してこのツールを使用します。実際、ASEC は昨年後半以来、Redis に対するこうした攻撃を相次いで目撃しています。
「過去のケースと現在のケースの違いは、PowerShell ではなく CertUtil ツールを使用して PrintSpoofer がインストールされていることです」と Senseo 氏は説明しました。
悪意のあるバックドアとしてのメータープリター
PrintSpoofer をインストールした後、脅威アクターは Meterpreter Stager をインストールしました。Meterpreter Stager は 2 種類のモジュールのうちの 1 つであり、その違いはインストール方法によって異なります。 Meterpreter は Metasploit ツールに対して、Beacon は Cobalt Strike に対してです。
攻撃者が Stager を使用する場合、それはインストールがステージング バージョンを介して行われることを意味し、攻撃者のコマンド アンド コントロール (C2) サーバーから Meterpreter を直接ダウンロードします。 ASECによると、これにより、ペイロード内で「段階のない」方法でダウンロードされるフットプリントのバージョンが減少します。
このプロセスが完了すると、Meterpreter がメモリ内で実行され、これにより攻撃者は感染したシステムを制御し、「マルウェアが提供するさまざまな機能を使用して組織の内部ネットワークも支配できる」と Senseo 氏は書いています。
今すぐアップデート
ASEC は、ネットワーク管理者がシステム上の脅威の証拠を特定できるように、ファイル、動作、および攻撃の侵害の痕跡のリストを投稿に含めました。
攻撃ベクトルによる侵害を避けるために、ASEC は、Redis 3.x がインストールされている環境の管理者は、少なくとも既知の脆弱性が悪用されないようにするために、利用可能なパッチでサーバーを直ちに更新する必要があるとアドバイスしました。ただし、最良のシナリオは、V3 を最新バージョンのサーバーに更新することです。
管理者は、外部からのアクセスを制限するセキュリティ保護ソフトウェアもインストールする必要があります。 Redisサーバー ASECは、識別や悪用を防ぐためにインターネットに公開するようアドバイスした。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/outdated-redis-service-abused-to-spread-meterpreter-backdoor