نسخه جدید بدافزار HeadCrab امکان دسترسی root به سرورهای Redis (Open Source) را فراهم میکند. نوع اول این بدافزار، 1200 سرور و نوع جدید آن، 1100 سرور را آلوده کرده است. بدافزار HeadCrab دستگاههای آلوده را برای استفاده در cryptomining و حملات دیگر به یک بات نت اضافه میکند. نسخه ابتدایی بدافزار HeadCrab یک روتکیت نیست، اما در نسخه جدید، توانایی کنترل و ارسال پاسخ به بدافزار اضافه شده است و به این ترتیب به یک روتکیت کامل بدل گشته است. روتکیت بدافزاری است که دسترسی ریشه دارد و همه چیز را کنترل میکند. به این ترتیب میتوان آنچه را که کاربر میبیند، کنترل نمود.
نوع جدید بدافزار HeadCrab به مهاجم اجازه میدهد با حذف دستورات سفارشی و افزودن رمزگذاری به زیرساخت سرور کنترل و فرمان، اقدامات خود را پنهان کند. یکی از عناصر منحصر به فرد HeadCrab یک mini blog است که نویسنده بدافزار، جزئیات فنی بدافزار و یک آدرس ایمیل Proton Mail را جهت ناشناس ماندن در آن نوشته است. محققان Aqua Security از این ایمیل برای تماس با سازنده HeadCrab - با نام رمز Ice9 - استفاده کردند، اما نتوانستند نام یا مکان او را تعیین کنند. با این حال، Ice9 به محققان گفت که آنها اولین افرادی بودند که به او ایمیل زدند. در مکالمات ایمیلی با محققان، Ice9 اذعان داشتند که این بدافزار عملکرد سرور را کاهش نمیدهد و میتواند سایر بدافزارها را حذف کند. او همچنین یک هش از بدافزار را برای محققان ارسال کرد تا بتوانند آن را بررسی کنند.
محصولات تحت تاثیر
براساس تحقیقات انجام شده، HeadCrab بر آلودهسازی سرورهای Redis تمرکز دارد. هنگامی که مهاجم از دستور SLAVEOF استفاده میکند، یک ماژول مخرب دانلود شده و دو فایل جدید اجرا میشود: یک cryptominer و یک فایل پیکربندی. سپس HeadCrab سرور Redis را آلوده میکند. به گفته محققان، این فرآیند شامل دستوری است که به مدیران اجازه میدهد تا یک سرور را در یک کلاستر Redis به عنوان salve برای یک سرور master دیگر در خوشه تعیین کنند. پس از آلوده شدن سرور، Ice9 کنترل کامل زیرساخت سرور را در دست دارد. نسخه جدید با توانمندیهای روتکیت، امکان مخفی کردن فعالیتهای مهاجم و بهبود فرایند رمزنگاری را فراهم میکند.
توصیههای امنیتی
محققان توصیه کردند که سازمانها، آسیبپذیریها و پیکربندیهای نادرست را در سرورهای خود اسکن کنند و از حالت محافظت شده در Redis استفاده کنند تا احتمال مخاطرات HeadCrab را کاهش دهند.
منابع خبر:
[1]https://www.darkreading.com/cyberattacks-data-breaches/headcrab-malware-variants-commandeer-thousan…
[2]https://hackdojo.io/articles/E59PQMNKQ/-headcrab-malware-variants-commandeer-thousands-of-servers
- 48