Linux Redis自動化挖礦感染蠕蟲分析及安全建議

作者：Fooying@云鼎實驗室
公眾號：云鼎實驗室

一、背景

自從Redis未授權問題獲取Linux系統root權限的攻擊方法的披露后，由于其易用性，利用該問題入侵Linux服務進行挖礦、掃描等的黑客行為一直層出不窮;而在眾多利用該問題入侵服務器進行黑產行為的案例中，其中就存在一類利用該問題進行挖礦并且會利用pnscan自動掃描感染其他機器；該類攻擊一直存在，不過在近期又呈現數量增加的趨勢，在最近捕獲到多次，我們針對其做下具體的分析。

二、漏洞說明

首先針對利用的漏洞做個說明，Redis 默認情況下，會綁定在 0.0.0.0:6379，在沒有利用防火墻進行屏蔽的情況下，將會將Redis服務暴露到公網上，如果在沒有開啟認證的情況下，可以導致任意用戶在可以訪問目標服務器的情況下未授權訪問Redis以及讀取Redis的數據。攻擊者在未授權訪問Redis的情況下利用Redis的相關方法，可以成功將自己的公鑰寫入目標服務器的 ~/.ssh 文件夾的authotrized_keys 文件中，進而可以直接登錄目標服務器；如果Redis服務是以root權限啟動，可以利用該問題直接獲得服務器root權限。相關漏洞詳情可以參考：https://www.seebug.org/vuldb/ssvid-89715

以下為漏洞利用演示（視頻地址：https://v.qq.com/x/page/u0661b9o772.html）：

經過在ZoomEye和SHODAN檢索，可以發現分別眾多Redis服務開放在公網上，這些服務都可能成為攻擊目標。

三、入侵分析

經過對捕獲的事件進行分析，我們發現整個入侵流程大概是包含以下幾個環節：

掃描開放6379端口的Linux服務器（后續感染掃描網段為1.0.0.0/16到224.255.0.0/16）
通過redis-cli嘗試連接Redis并執行預置在.dat文件里的利用命令將Redis的數據文件修改為/var/spool/cron/root，然后通過在Redis中插入數據，將下載執行腳本的動作寫入crontab任務
通過腳本實現以上的相關行為，完成植入并啟動挖礦程序
再編譯安裝pnscan，繼續掃描感染下一個目標

四、腳本分析

整個入侵利用以及后續的感染的實現，最主要的功能都是基于通過Redis問題寫入crontab任務中下載執行的.cmd腳本（https://transfer.sh/MIpIA/tmp.9kIguIhkI7）來實現的，通過對它的分析，我們基本能夠得到整個流程的所有細節，這是一個base腳本，我們通過解讀來分析下它的相關功能。

這部分代碼只要是用作重復執行的判斷，將.mxff0文件作為標記文件，如果存在該文件則代表機器上已執行腳本，直接退出，否則寫.mxff0文件并進行下一步動作；

設置預置動作，在腳本退出后刪除相關文件和腳本自身；

這部分主要是修改系統的配置，開頭兩行為關閉SELINUX；然后清空/var/spool/cron，進而判斷系統DNS服務器是否存在8.8.8.8，沒有則添加；接著清空系統tmp目錄和刪除相關文件；同時清空系統緩存，而最后修改/etc/security/limits.conf來更新系統的資源限制；

這里再進一步的增加iptables限制6379端口只允許本地訪問，同時kill相關包含挖礦、redis客戶端、爬蟲等進程，這里的目的也比較簡單，避免被其他黑客再次入侵，同時清除可能其他黑客入侵啟動的進程；

清除相關登錄日志、命令操作歷史；

這一長串的內容主要目的是下載并編譯安裝pnscan，從內容中我們可以看到對于不同操作系統的判斷然后安裝依賴的相關模塊，然后才是從github下載pnscan的源碼進行編譯安裝；至于為什么采用編譯安裝的形式，猜測是出于兼容不同系統以及每次編譯生成的pnscan的MD5都不一樣，避免形成固定特征；

這部分主要是下載挖礦程序并重命名為.gpg，增加執行權限，執行后刪除，同時重新上傳到https://transfer.sh/ 獲取新的鏈接；

而這部分內容主要是生成新的.dat文件，包含將原來.cmd腳本里的里挖礦程序的下載地址替換為上一步上傳到https://transfer.sh/得到的新地址，還有Redis利用的相關語句；

而步主要是調用pnscan去掃描子網段1.0.0.0/16到224.255.0.0/16中開放6379端口并且操作系統為Linux的目標，然后利用redis-cli執行.dat中的命令，進行下個目標的感染；這里pnscan的-W參數值'2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a'轉換后內容'*1\r\n$4\r\nINFO\r\n'，是向目標Redis服務發送請求獲取Redis服務器的各種信息和統計數值，再通過-R參數值'6f 73 3a 4c 69 6e 75 78'(轉換后內容為os:Linux)判斷是否Linux系統。

最后就是收尾工作，清除相關日志和命令執行歷史，同時在腳本退出的時候會觸發腳本一開始用trap預置的動作，會做刪除操作，刪除相關文件和腳本自身（rm -rf m .cmd tmp. .r .dat $0）。通過對腳本的解讀，我們基本已經清楚整個蠕蟲的行為和入侵流程，也就是我們開始所描述的流程。

另外，通過閱讀腳本，我們發現雖然整個入侵流程并不是多復雜，但腳本其實有很多“工程化”的細節考慮，不得不讓人驚嘆入侵者的“考慮周到”：

利用.mxff0文件做重復執行檢驗，避免腳本的重復執行

1.為了增加成功性，一些環境的預處理：

關閉SELINUX
增加8.8.8.8的DNS
清空tmp目錄
清空系統緩存
修改系統資源限制

2.痕跡清除

利用trap預置動作好在腳本執行完成后刪除相關文件和腳本自身
重復清除相關登錄等日志和命令執行歷史

3.同行預防

利用iptables避免Redis服務開放在公網上從而導致再次被入侵
清除同行可能遺留的入侵行為，kill相關進程

4.系統兼容性

判斷操作系統，針對性的執行相關命令，安裝依賴包，最大限度的提高pnscan編譯安裝的成功率
關閉SELINUX，通過setenforce和修改/etc/sysconfig/selinux兩種手段實現
寫入Crontab里的下載并執行腳本的任務，通過curl、wget、lynx三種方式實現
Pnscan掃描增加操作系統判斷，減少沒有必要的感染嘗試

5.特征去除，存活延續

Pnscan采用安裝編譯的方式，既提高在不同系統下的兼容性，也避免形成固定的MD5特征
利用https://transfer.sh中轉，每一次感染均生成新的連接，避免固定鏈接形成固定特征
下載到系統的相關文件均采用隨機生成的文件名

正是由于入侵者種種的”考慮周到”使得他的入侵感染的成功率能夠達到的一定的層度。

五、安全建議

病毒清理和系統恢復

我們主要參考腳本的相關行為進行對應的行為恢復和刪除即可：

關閉SELINUX，根據系統原環境和業務需要重新開啟SELINUX
清空了/var/spool/cron，根據原先備份清空恢復
修改/etc/resolv.conf增加DNS服務8.8.8.8，如無影響可不處理，或者刪除
修改了系統資源限制(/etc/security/limits.conf)，可根據備份情況恢復
增加了對6379端口的Iptables規則，如果不影響業務，建議保留
Kill了相關進程，檢查是否包含業務所需進程，根據情況恢復
安裝了相關包，具體列表見上文，可根據情況刪除或者如無影響可保留
編譯安裝了pnscan，可刪除/usr/local/bin/pnscan
清除了相關日志和tmp目錄，對系統無影響，可忽略
啟動了挖礦進程和pnscan掃描感染，進程：.gpg、pnscan，直接kill

還包含了一些中間文件，雖然腳本包含相關刪除操作，但建議還是全局查找確認：

.mxff0、.x112、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx

Redis服務加固

導致入侵的主要原因是Redis未授權訪問問題，所以如果要扼制入侵的入口，需要針對Redis服務進行加固，避免黑客通過該途徑進行入侵植入挖礦蠕蟲。
如無必要，修改bind項，不要將Redis綁定在0.0.0.0上，避免Redis服務開放在外網，可以通過iptables或者騰訊云用戶可以通過安全組限制訪問來源
在不影響業務的情況，不要以root啟動Redis服務，同時建議修改默認的6379端口，大部分針對Redis未授權問題的入侵都是針對默認端口進行的
配置AUTH，增加密碼校驗，這樣即使開放在公網上，如果非弱口令的情況，黑客也無法訪問Redis服務進行相關操作
使用rename-command CONFIG "RENAME_CONFIG"重命名相關命令，這樣黑客即使在連接上未授權問題的Redis服務，在不知道命令的情況下只能獲取相關數據，而無法進一步利用

其他建議