コイン採掘悪性コードの配布先に転落：漏洩されたRedisサーバー

2022.11.25 22:54

Redisは、Remote Dictionary Serverの略語で、key-value構造の非定形データを保存・管理するための非リレーショナルデータベース管理システムです。非構造化データとは固定された構成の原則がなく、フィルタリングされていない原始データ（raw data）で、ウェブ・ログ、XML、JSON、イメージ、テキスト文書、オーディオおよびビデオファイル等、多様な形式が含まれます。

Redisは非同期レプリケーションを支援し、複数のサーバーに同じデータのコピーを維持できるという長所を持っています。これによって、主なサーバーに障害が発生する場合、いろんなサーバーにリクエストが分散され、向上した読み取りや早い復旧が可能になるので、多くの使用者らが利用しているシステムです。

漏洩されたRedisサーバー、コイン採掘悪性コードを配布している

本投稿では攻撃者が認証設定が不十分なRedisサービスが実行されているサーバーにアクセスし、Bitcoin Minerでサーバーを感染させる事例について説明します。

まず、外部から漏洩されたRedis Productを確認するため、次の通りCriminal IPのIT資産検索で 「product: redis」 キーワードを検索すると、総26,373個の漏洩されたRedisサーバーについて情報を得られます。

Search Query: "product: redis"

https://www.criminalip.io/ja/asset/search?query=product%3A+redis

Criminal IPに「product: redis」キーワードで検索した結果、
26,373件の漏洩されたサーバーが検索される

国家ごとに見ると、最も多く漏洩されたRedisシステムを使用している国は中国で、日本は9番目で多く漏洩されたRedisシステムを使用していることが明らかになりました。

漏洩されたRedisサーバーの国家統計、
中国が漏洩されたRedisサーバーを一番多く保有している

認証が不十分な状態で漏洩されたRedisサーバー

redis_cli [target_ip]で活性化されたRedisサービスにアクセスする際、認証装置が揃っている所なら、次のような文句が出力されます。

"[ERROR] NOAUTH Authentication required"

「[ERROR] NOAUTH Authentication required」文句が出力される安全なRedisサーバー

しかし、認証装置が設定されていない場合、下の画像のように別の認証過程を通さず、直接アクセスができ、「keys *」を通じて漏洩されるデータを確認できます。

認証が不十分なRedisサーバーにアクセスした画面、
「keys *」を通じてデータが漏洩される

モネロコイン採掘悪性コードに感染した漏洩されたRedisサーバー

該当サーバーの特定データにアクセスしてみると、次のように「cleanfda」で続く怪しいパターンが共通的に発見されました。

漏洩されたRedisサーバーの特定データにアクセスした画面、
怪しいパターンが発見された

Criminal IP ドメイン検索で上記ドメインの詳細情報を検索してみたところ、該当ドメインに bash shell scriptで組まれたscriptがあることが確認されました。

Criminal IP ドメイン検索で漏洩されたRedisサーバーから発見された
怪しいURLを検索した結果、bash shell scriptで組まれている

Criminal IP ドメイン検索に漏洩されたRedisサーバーから発見された
怪しいURLを検索した結果、bash shell scriptで組まれている

該当URLにアクセスしてこのbash shell scriptをもっと詳しく見ると、このサーバーでモネロコイン採掘スクリプトが実行されていることが確認されました。

漏洩されたRedisサーバーから発見した怪しいドメインのScript分析結果、
モネロコイン採掘スクリプトが実行されていた

Redisサーバーハッキング予防のチェックリスト

運営しているRedisサーバーがコイン採掘に悪用されないよう防ぐために、セキュリティ担当者は次のようにセキュリティ設定を行う必要があります。

DockerでRedisサービスをバインディングする際、Default IPの使用を禁止する（0.0.0.0ではなく127.0.0.1）
ファイアウォール設定を確認し、非正常的なアクセスをするIPはブロックすると共に、認証された使用者がホワイトリストIPになっているか点検する
Criminal IPを通じて保有しているRedisサーバーが漏洩されているのではないかと、認証装置が欠落していないかを定期的に点検する

データの提供

Criminal IP
▶ https://www.criminalip.io/ja

ご参照

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

1000 / 1000