HeadCrab 2.0:攻击Redis 数据库服务器用于挖矿

阅读量46567

发布时间 : 2024-02-02 10:22:27

网络犯罪分子从由数千台受感染服务器组成的大型网络中获利多少?

几天前,Aqua Security的研究人员 发布了有关 HeadCrab 恶意软件更新版本的数据,该恶意软件自 2021 年 9 月以来一直在攻击世界各地的Redis 数据库服务器。更新后的恶意软件的出现在 HeadCrab 首次公开描述一年后才为人所知。

Aqua Security 专家报告称,在过去的一段时间里,感染 Redis 服务器的活动几乎增加了一倍,目前受感染的系统数量已达到 2300 个。作为比较:2023 年初,记录了大约 1200 个受感染的主机。

HeadCrab 恶意软件专门设计用于渗透开放的 Redis 网络并利用其计算能力非法开采加密货币。此外,攻击者还可以访问受感染的计算机来执行任意命令、将无文件模块加载到操作系统内核中以及窃取数据。

尽管行动规模巨大,但犯罪分子的身份尚未确定。值得注意的是,HeadCrab 程序本身有一个内置的迷你博客,攻击者可以在其中分享有关自己及其恶意软件的新闻。在那里,黑客报告说,尽管他们的活动可以称为寄生活动,但他们不会伤害人类。攻击者表示,他们的目标是每年通过挖矿赚取 15,000 美元(每月约 115,000 卢布)。

HeadCrab 2.0 使用复杂的方法来隐藏恶意活动。与第一个版本不同,现在使用无文件下载来部署恶意软件,这减少了文件系统中的跟踪数量并使分析变得复杂。

与命令服务器的通信协议也已更改 – 现在使用标准 Redis MGET 命令,而不是单独的命令。这允许您将流量伪装成合法的。

Aqua Security 研究人员表示,HeadCrab 2.0 与第一个版本相比,攻击隐藏机制的复杂性显着增加。这给基于行为的检测系统带来了额外的挑战。

恶意软件的这种演变需要不断改进保护工具和识别新威胁。持续监控此类活动、收集和分析遥测数据以及时检测修改版本极其重要。

您可以通过定期更新软件、限制外部访问以及分析流量和日志是否存在恶意活动来保护 Redis 服务器。只有采取综合方法才能显着降低感染风险。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66