Durante muchos años, los servidores Redis no seguros orientados a Internet han sido constantemente elegidos por delincuentes para extraer criptomonedas, por lo que la última campaña de cryptojacking detectada por el investigador de Cado Labs no puede considerarse noticia. Pero uno de sus elementos apunta a una nueva tendencia: los atacantes han comenzado a utilizar cada vez más el servicio transfer.sh (legítimo) para alojar código malicioso.
Dicen que su telemetría muestra un aumento en el uso malicioso del servicio desde principios de 2023 y aconsejan a los defensores de las organizaciones que implementen detecciones para ello.
La campaña de criptojacking
Redis es un popular almacén de estructura de datos de código abierto que se utiliza como base de datos distribuida en memoria, caché y agente de mensajes.
Los servidores Redis están destinados a ser accedidos solo por clientes confiables dentro de entornos confiables pero desafortunadamente a menudo se exponen en línea y los atacantes lo saben.
La campaña de cryptojacking en curso detectada por los investigadores no tiene nada de especial: los atacantes están encontrando puntos finales de la API de Redis expuestos a Internet que no tienen configurada la autenticación y utilizan este agujero de seguridad para conectarse de forma remota al almacén de datos utilizando la herramienta de línea de comandos redis-cli.
“El acceso inicial para esta campaña se logró explotando una implementación insegura de Redis, escribiendo un trabajo cron en el almacén de datos y obligando a Redis a guardar el archivo de la base de datos en uno de los directorios cron. Cuando el programador cron lee archivos en el directorio, el archivo de la base de datos se lee y analiza como un trabajo cron, lo que resulta en la ejecución arbitraria de comandos”, explicaron.
A diferencia de la mayoría de los escáneres de vulnerabilidades web automatizados, los escaneos de Burp Suite Enterprise Edition se pueden asignar y reasignar en cualquier sitio web, aplicación o URL.
Conocer..
“Redis se explota para registrar un trabajo cron simple que se ejecuta cada minuto y ejecuta un comando cURL en silencio para recuperar una carga útil en https://transfer[.]sh/QQcudu/tmp[.]fDGJW8BfMC. Este archivo se guarda como .cmd y se ejecuta con bash”.
El script recuperado prepara la máquina de destino para la criptominería encubierta realizando acciones como deshabilitar el módulo de seguridad del kernel de SELinux, configurar la memoria para liberar RAM para la tarea, «matar» el software de minería de la competencia y borrar los archivos de registro.
Finalmente, recupera archivos binarios XMRig (software de criptominería) y pnscan (escáner de red/puerto) de GitHub. Pnscan se usa a menudo para encontrar servidores Redis vulnerables y propagarles una copia del script y todo este proceso es, en este caso, automático.
Uso de Transfer.sh
Si las organizaciones cuyos servidores Redis comienzan a extraer criptomonedas después de un compromiso de este tipo lo detectarán o no, depende del sistema de destino y de la cantidad de monitoreo habilitado, dijo Matt Muir, investigador de inteligencia de amenazas en Cado Security.
“Gran parte de la configuración del host aparecería en los registros del demonio de auditoría, pero estos no están habilitados de forma predeterminada. La interacción de SELinux aparece en /var/log/avc.log (para algunas distribuciones). La configuración de drop_caches se registraría en /var/log/messages o /var/log/syslog según la configuración del host”, explicó.
Pero, en términos más generales, las organizaciones deben ser conscientes del uso cada vez mayor de transfer.sh por parte de los atacantes para alojar código malicioso.
“No está claro qué está impulsando el cambio a transfer.sh. Es posible que sea un intento de evadir las detecciones basadas en otros dominios de alojamiento de código comunes (como pastebin.com). Del mismo modo, podría ser que servicios similares hayan implementado medidas adicionales para eliminar el código malicioso”, señalaron los investigadores de Cado Security y señalaron que el “énfasis en la interactividad de la línea de comandos de transfer.sh lo convierte en un candidato perfecto para alojar y entregar cargas maliciosas”.
Fuente: helpnetsecurity
Si te ha gustado, ¡compártelo con tus amigos!
