RedisWannaMine: cryptojacking krijgt flair

Cryptojacking wordt steeds vernuftiger. Het nieuwste instrument in de goudkoorts naar cryptomunten is door Imperva, het securitybedrijf dat de aanval ontdekte, omgedoopt tot RedisWannaMine. Dit is wat je moet weten over deze nieuwste cryptojackingmethode.

De eerste aanvalsvector van RedisWannaMine maakte gebruik van een bekende kwetsbaarheid in webapplicaties die zijn ontwikkeld met Apache Struts. Dat is een opensourceframework voor de ontwikkeling van Java-applicaties. De malware tastte zowel databaseservers als applicatieservers aan.

Geavanceerde downloader

Over de omvang van de aanval maakte het bedrijf niets bekend. Wel kwam een ander detail aan het licht. Volgens Imperva waren tot nu toe de meeste cryptojackingaanvallen eenvoudig van opzet, maar deze nieuwe aanval maakt gebruik van een geavanceerdere downloader. Het beschikt over bijzondere technieken om onder de radar van antimalware te blijven. Het maakt daarnaast op een wormachtige manier misbruik van onder andere kwetsbaarheden in Microsoft’s SMB-protocol.

Imperva ontdekte verschillende scripts die geassocieerd worden met RedisWannaMine. Een shellscript dat ze vonden, transfer.sh, is een downloader die in sommige opzichten lijkt op oudere cryptojackingdownloaders. Het script nestelt zich in het systeem via een nieuwe entry in crontab persistentie in de geïnfecteerde host door nieuwe entry in crontab. Dankzij een nieuwe SSH-key in “/root/.ssh/authorized_key” en wijzigingen in de Linux-firewall iptables krijgen aanvallers bovendien toegang op afstand.

Masscan

De downloader zit vol verbeteringen ten opzichte van eerder ontdekte cryptojackerdownloaders. Het is bijvoorbeeld zelfvoorzienend. Het kan meerdere pakketten installeren met behulp van standaard Linux-pakketmanagers zoals APT en YUM. Het script downloadt ook een openbaar toegankelijke TCP-poortscanner, masscan uit de Github-repository, en compileert en installeert het vervolgens op de geïnfecteerde host. Volgens het GitHub-projectdocument is masscan ‘de snelste tool voor het scannen voor internetpoorten’. Het kan het hele internet in minder dan 6 minuten scannen en 10 miljoen pakketten per seconde verzenden.

Volgens het onderzoek start het script, zodra de malware zich op de host heeft gevestigd, een ander proces dat de masscantool gebruikt om openbaar beschikbare Redis-servers te ontdekken en te infecteren. De tool scant TCP-poort 6379 op zowel publieke als private IP’s. Is een van de gescande IP-adressen publiekelijk beschikbaar, dan lanceert het script het ‘redisrun.sh’-script om de nieuwe host te infecteren met dezelfde malware voor cryptomining en wordt de cyclus herhaald.

Windows-servers

RedisWannaMine gebruikt ook de EternalBlue SMB-exploits tegen kwetsbare Windows-servers. Het malwareproces lanceert een ander scanproces, ‘ebscan.sh’ genaamd, dat opnieuw gebruikmaakt van de masscan. Deze keer scant het TCP-poort 445 op zowel private als publieke IP’s om publiek beschikbare Windows-servers met kwetsbare SMB-versies te ontdekken en te infecteren.

Volgens de Imperva-blogpost gebruikt de miner bekende cryptominingmalware om cryptomunten te delven en deze naar de portemonnee van de hacker te sturen.

RedisWannaMine-aanval voorkomen

Er zijn verschillende manieren om te voorkomen dat RedisWannaMine servers infecteert. Een degelijk patch- en updatebeleid is uiteraard verstandig. Daarnaast is het verstandig kwetsbare protocollen zoals oude SMB-versies uit te schakelen in het netwerk en met firewalls de toegang te beperken, zodat servers zoals Redis niet worden blootgesteld aan de buitenwereld.

Dit is een ingezonden bijdrage van Martijn Nielen, Sr. Sales Engineer bij WatchGuard Technologies.