취약한 Redis 서버를 노리는 새로운 Go 기반 멀웨어
클라우드 보안 회사인 Aqua Nautilus는 오픈 소스 인메모리 데이터베이스 및 캐시인 Redis(원격 사전 서버)를 표적으로 하는 새로운 Go 기반 멀웨어를 발견했습니다.
이 공격은 의도적으로 취약한 Redis 허니팟 중 하나에 대해 수행되었으며, 이 취약점은 원격 코드 실행에 악용될 수 있는 Lua 스크립팅 엔진의 샌드박스 탈출 사례인 CVE-2022-0543(CVSS 점수: 10.0)으로 추적되었습니다.
이 멀웨어는 아직 VirusTotal 안티바이러스 엔진에 의해 탐지되지 않았으며, 공격 서버가 손상된 컴퓨터를 제어할 수 있도록 Redis 서버를 대상으로 작성되었습니다.
이 취약점은 2월에 발견되어 수정되었지만, 공격자들은 올해 초에 공개된 오픈 소스 인메모리 키-값 저장소의 심각한 보안 취약점을 익스플로잇하면서 레디고를 배포하고 있습니다. 한편, 공격자들은 개념 증명 익스플로잇 코드가 공개된 후 몇 달이 지난 후에도 패치가 적용되지 않은 시스템에서 이 익스플로잇을 계속 사용했습니다.
Redigo를 이용한 공격은 포트 6379를 스캔하여 노출된 Redis 인스턴스를 찾는 것으로 시작되며, 그 다음에는 공격자가 Redis 서버에 대한 정보를 수신할 수 있도록 하는 INFO 명령과 위협 행위자가 공격 서버의 복제본을 생성하고 나중에 공유 개체를 다운로드할 수 있도록 도와 취약점을 악용할 수 있도록 하는 SLAVEOF 명령 등 여러 명령이 실행됩니다.
또한 마스터(공격 서버)에서 새로 생성된 복제본에 대한 연결을 구성하는 REPLCONF 명령과 새 복제본이 실행하고 마스터로부터 복제 스트림을 시작하여 복제본을 업데이트하고 마스터가 명령 스트림을 보낼 수 있도록 하는 PSYNC 명령이 있습니다. MODULE LOAD 명령은 4단계에서 다운로드한 동적 라이브러리에서 모듈을 런타임에 로드할 수 있도록 합니다. 마지막으로, SLAVEOF NO ONE 명령은 복제를 비활성화하고 취약한 Redis 서버를 마스터로 전환합니다.
레디고를 다운로드하고 실행하기 전에 백도어는 명령 실행 기능을 사용하여 호스트 하드웨어 정보를 수집합니다. 아쿠아섹 허니팟의 공격 지속 시간 제한으로 인해 레디고가 환경에 발판을 마련한 후 어떤 과정을 거치는지는 알 수 없지만, 아쿠아섹 연구원들은 이 멀웨어가 분산 서비스 거부 공격과 암호화폐 채굴 공격을 위한 봇으로 취약한 서버를 추가할 수 있다고 보고 있습니다.
연구진에 따르면 공격자는 이 멀웨어를 사용하여 Redis 데이터 도용을 용이하게 할 수도 있습니다.
이 글의 출처는 Bleepingcomputer의 기사입니다.