Уязвимые серверы Redis атакует майнер Skidmap, и его скрывает руткит

В «Доктор Веб» рассказали о новой модификации руткита, которая устанавливает на скомпрометированные машины под управлением Linux троян-майнер Skidmap. Руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности.

По словам исследователей, такие атаки являются массовыми и нацелены в основном на корпоративный сектор (крупные серверы и облачные среды), так как именно в этом случае эффективность майнинга будет максимальной.

Эксперты объясняют, что изначальное применение Redis не предполагало его установку на сетевой периферии, поэтому в конфигурации по умолчанию поддерживаются только базовые защитные функции, а в версиях до 6.0 и вовсе отсутствуют механизмы контроля доступа и шифрования.

Участившиеся сообщения о компрометации серверов с последующей установкой майнинговой малвари заинтересовали специалистов «Доктор Веб» и побудили их запустить собственный ханипот: сервер Redis с отключенной защитой.

В течение года этот сервер ежемесячно пытались атаковать от 10 000 до 14 000 раз, а недавно на нем была обнаружена малварь Skidmap, для сокрытия активности которой преступники воспользовались новым методом, а также установили на зараженную машину сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились еще в 2019 году. Этот майнер в основном встречается в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте.

Хотя с момента появления трояна прошло уже пять лет, принцип его работы остается неизменным: обычно он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО.

В случае ханипот-сервера «Доктор Веб» хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143).

Этот исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа.

Отличительной осособенностью дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В изученном случае в тело дроппера были встроены примерно 60 файлов для часто используемых версий Debian и Red Hat Enterprise Linux.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, что сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Также руткит проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут обнаружить его присутствие. Это позволяет скрыть практически все аспекты деятельности майнера (вычисления, отправку хешей и получение заданий).

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.

Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают на скомпрометированным машины RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на взломанный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.

Отмечается, что обнаружение скрытого руткитом майнера в кластере серверов — это нетривиальная задача. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — избыточное энергопотребление и повышенное теплообразование.

Исследователи резюмируют, что эволюция семейства Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты, что значительно затрудняет действия по реагированию на подобные инциденты.

Кроме того, злоумышленники могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит им привлекать меньше внимания к скомпрометированной системе.