I ricercatori di sicurezza hanno scoperto una nuova campagna che prende di mira i server Redis su host Linux attraverso un malware denominato ‘Migo’, utilizzato per il mining di criptovalute. Redis, noto per le sue prestazioni elevate, è ampiamente utilizzato in settori come il gaming, la tecnologia, i servizi finanziari e l’assistenza sanitaria.
Caratteristiche e Impatto di Migo
Migo si distingue per la sua capacità di disabilitare le funzionalità di sicurezza di Redis, consentendo attività di cryptojacking per periodi prolungati. Gli analisti di Cado Security, che hanno rilevato la campagna, hanno osservato che gli attaccanti usano comandi CLI per disattivare le configurazioni protettive ed eseguire attività malevole sul server.
Tecniche di Attacco
Una volta compromessi i server Redis esposti, gli attaccanti disabilitano funzioni di sicurezza cruciali per ricevere comandi successivi e rendere le repliche scrivibili. Tra le configurazioni disabilitate tramite CLI di Redis vi sono:
- set protected-mode: la disattivazione consente l’accesso esterno al server Redis, facilitando l’esecuzione di comandi malevoli da remoto.
- replica-read-only: disabilitandola, gli attaccanti possono scrivere direttamente sulle repliche e diffondere payload o modifiche dati.
- aof-rewrite-incremental-fsync e rdb-save-incremental-fsync: la loro disattivazione può aumentare il carico IO durante le riscritture e i salvataggi, aiutando gli attaccanti a rimanere non rilevati.
Successivamente, gli attaccanti configurano un lavoro cron che scarica uno script da Pastebin per recuperare e eseguire il payload principale di Migo. Il malware, un binario ELD compresso con UPX e compilato in Go con obfuscamento a tempo di compilazione, ha come funzione principale il recupero, l’installazione e l’avvio di un miner XMRig (Monero) modificato.
Persistenza e Occultamento
Migo stabilisce la persistenza del miner creando un servizio systemd e un timer associato, assicurando una continua attività di mining a vantaggio dell’attaccante. Inoltre, impiega un rootkit in modalità utente per nascondere i suoi processi e file, complicando il rilevamento e la rimozione. Modifica ‘/etc/ld.so.preload’ per intercettare e alterare il comportamento degli strumenti di sistema, celando efficacemente la sua presenza.
L’attacco si conclude con la configurazione di regole firewall per bloccare il traffico in uscita verso determinati IP e l’esecuzione di comandi per disabilitare SELinux, cercare e potenzialmente disattivare gli agenti di monitoraggio dei provider cloud e rimuovere miner o payload concorrenti.
Considerazioni Finali
Sebbene la minaccia di cryptojacking di Migo non sia particolarmente grave, poiché non porta a interruzioni o corruzioni dei dati, l’accesso ottenuto potrebbe essere utilizzato per distribuire payload più pericolosi, sottolineando l’importanza di proteggere i server Redis da tali attacchi.