Los investigadores de seguridad descubrieron una nueva campaña dirigida a servidores Redis en hosts Linux utilizando un malware llamado ‘Migo’ para extraer criptomonedas.
Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y intermediario de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en industrias como juegos, tecnología y servicios financieros. y atención sanitaria.
Los piratas informáticos siempre buscan servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.
Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y que desactivan las funciones de seguridad de Redis, lo que permite que las actividades de criptojacking continúen durante períodos prolongados.
La campaña Migo fue detectada por analistas del proveedor forense de nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar configuraciones protectoras y explotar el servidor.
Desactivar los Escudos de Redis
Al comprometer los servidores Redis expuestos, los atacantes desactivan funciones de seguridad críticas para permitir recibir comandos posteriores y hacer réplicas escribibles.
Cado dice que notaron que los atacantes desactivaban las siguientes opciones de configuración a través de la CLI de Redis.
- Establecer modo protegido: desactivar esto permite el acceso externo al servidor Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.
- réplica de solo lectura : desactivar esta opción permite a los atacantes escribir directamente en réplicas y difundir cargas útiles maliciosas o modificaciones de datos en una configuración distribuida de Redis.
- aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una mayor carga de IO durante las reescrituras de archivos de solo adición (AOF), lo que podría ayudar a los atacantes a permanecer sin ser detectados al distraer a las herramientas de detección con patrones de IO inusuales.
- rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que potencialmente permite a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.
Luego, los atacantes configuraron un trabajo cron que descarga un script de Pastebin, que recupera la carga principal de Migo (/tmp/.migo) de Transfer.sh para ejecutarla como una tarea en segundo plano.
Este es un binario ELD empaquetado en UPX compilado en Go, que presenta ofuscación en tiempo de compilación para dificultar el análisis.
Cado dice que la función principal de Migo es buscar, instalar y ejecutar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.
El malware establece persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, extrayendo criptomonedas en la cuenta del atacante.
Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.
El malware modifica ‘/etc/ld.so.preload’ para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.
El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.
También manipula /etc/hosts para impedir la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.
La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.
Aunque la amenaza de criptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de la amenaza podría utilizar el acceso para entregar cargas útiles más peligrosas.