HeadCrab 2.0：攻击Redis 数据库服务器用于挖矿

网络犯罪分子从由数千台受感染服务器组成的大型网络中获利多少？

几天前，Aqua Security的研究人员 发布了有关 HeadCrab 恶意软件更新版本的数据，该恶意软件自 2021 年 9 月以来一直在攻击世界各地的Redis 数据库服务器。更新后的恶意软件的出现在 HeadCrab 首次公开描述一年后才为人所知。

Aqua Security 专家报告称，在过去的一段时间里，感染 Redis 服务器的活动几乎增加了一倍，目前受感染的系统数量已达到 2300 个。作为比较：2023 年初，记录了大约 1200 个受感染的主机。

HeadCrab 恶意软件专门设计用于渗透开放的 Redis 网络并利用其计算能力非法开采加密货币。此外，攻击者还可以访问受感染的计算机来执行任意命令、将无文件模块加载到操作系统内核中以及窃取数据。

尽管行动规模巨大，但犯罪分子的身份尚未确定。值得注意的是，HeadCrab 程序本身有一个内置的迷你博客，攻击者可以在其中分享有关自己及其恶意软件的新闻。在那里，黑客报告说，尽管他们的活动可以称为寄生活动，但他们不会伤害人类。攻击者表示，他们的目标是每年通过挖矿赚取 15,000 美元（每月约 115,000 卢布）。

HeadCrab 2.0 使用复杂的方法来隐藏恶意活动。与第一个版本不同，现在使用无文件下载来部署恶意软件，这减少了文件系统中的跟踪数量并使分析变得复杂。

与命令服务器的通信协议也已更改 – 现在使用标准 Redis MGET 命令，而不是单独的命令。这允许您将流量伪装成合法的。

Aqua Security 研究人员表示，HeadCrab 2.0 与第一个版本相比，攻击隐藏机制的复杂性显着增加。这给基于行为的检测系统带来了额外的挑战。

恶意软件的这种演变需要不断改进保护工具和识别新威胁。持续监控此类活动、收集和分析遥测数据以及时检测修改版本极其重要。

您可以通过定期更新软件、限制外部访问以及分析流量和日志是否存在恶意活动来保护 Redis 服务器。只有采取综合方法才能显着降低感染风险。