헤드크랩 : 글로벌 캠페인에서 최첨단 레디스 메일웨어 관련 IOC 6개 발견

IOC:
c5b992c76b7c9fa3b9bd755dd3b5af76
178.62.32.29
0.0.0.0
182.74.78.10
44.224.209.130
116.202.102.79

요약:
아쿠아 나우틸러스의 연구원들은 9월 초부터 세계 각국의 서버들에 침투하고 있는 새로운 심각한 위협에 대해 발견했다. 이 위협은 HeadCrab이라고 불리며, 상태 최신화된 사용자 정의 멀웨어를 사용하여 많은 수의 Redis 서버를 침해한다. HeadCrab 봇넷은 최소 1,200개 이상의 서버를 제어하고 있다.Redis는 오픈 소스 메모리 기반 데이터 구조 저장소로, 데이터베이스, 캐시 또는 메시지 브로커로 사용할 수 있다. 기본적으로 Redis 서버는 인증이 활성화되어 있지 않으며, 인터넷에 공개되지 않고 보안된 닫힌 네트워크에서 실행되도록 설계되어 있어 인터넷에서 접근 가능한 기본 Redis 서버는 부정 접근과 명령 실행에 취약하다.Redis 클러스터는 데이터가 자동으로 다수의 Redis 노드에 걸쳐 분할되고 저장되도록하는 Redis 설치 방법이다. 클러스터 내에는 마스터 서버와 슬레이브 서버가 있어 데이터 복제 및 동기화가 쉽다. 기본 Redis 명령 중 하나인 SLAVEOF는 클러스터 내 다른 Redis 서버의 슬레이브 서버로서 서버를 지정한다. 서버가 슬레이브로 지정되면 마스터 서버와 동기화되며 마스터에 있는 모든 Redis 모듈을 다운로드한다. Redis 모듈은 Redis 서버의 기능을 다양한 방법으로 향상시키는 실행 가능한 공유 객체 파일이다. 모듈은 모듈을 업로드하고 Redis 포트를 통해 MODULE LOAD 명령을 사용하여 서버에 로드된다. Redis 모듈은 서버 관리 및 제어와 관련된 다양한 작업을 수행하는 데 Redis API를 사용한다.

내용:
아쿠아 나우틀러스 연구원들은 지난 9월 초부터 전 세계 서버들에서 잠재하고 있던 새로운 흉가를 발견했습니다. 이름이 헤드크랩인 이 고급 위협조직은 상태 최신형, 커스텀 메일웨어를 사용하여 많은 제디스 서버들을 침해합니다. 이 헤드크랩 봇넷은 최소 1,200개 이상의 서버를 제어하고 있습니다. 이 블로그는 헤드크랩 공격의 세부사항을 살펴보고 운영 방식과 감지를 회피하는 방법, 그리고 조직이 시스템을 보호하기 위해 취해야 할 조치를 살펴볼 것입니다.레디스란 무엇인가?
Redis는 오픈 소스, 메모리에 저장되는 데이터 구조 저장소로, 데이터베이스, 캐시 또는 메시지 브로커로 사용할 수 있습니다. 기본적으로 Redis 서버는 인증이 활성화되어 있지 않으며, 인터넷에 공개되지 않고 보안된 네트워크에서 실행되도록 설계되었습니다. 이러한 기본 설정으로 인해 인터넷에서 접근 가능한 Redis 서버는 부정 접근과 명령 실행에 취약합니다. Redis 클러스터는 데이터가 자동으로 다수의 Redis 노드에 걸쳐 분할되고 저장되도록 실행할 수 있는 방법을 제공합니다. 클러스터 내에는 마스터 서버와 슬레이브 서버가 있으며, 데이터 복제 및 동기화를 쉽게합니다. Redis의 기본 명령 중 하나인 SLAVEOF는 클러스터 내의 다른 Redis 서버의 슬레이브 서버로 지정합니다. 서버가 슬레이브로 정의되면 마스터 서버와 동기화하고 마스터에 있는 모든 레디스 모듈을 다운로드합니다. 레디스 모듈은 다양한 방법으로 서버 기능을 향상시킬 수 있는 실행 가능한 공유 객체 파일입니다. 모듈은 업로드하고 레디스 포트를 통해 MODULE LOAD 명령을 사용하여 서버에 로드됩니다. 레디스 모듈은 서버 관리 및 제어와 관련된 다양한 작업을 수행하는 데 사용되는 Redis API를 사용합니다. 예를 들어 사용자 정의 명령을 정의하거나 레디스 서버를 재시작하는 등의 작업을 할 수 있습니다......

Open New Windows

헤드크랩 : 글로벌 캠페인에서 최첨단 레디스 메일웨어:
https://blog.aquasec.com/headcrab-attacks-servers-worldwide-with-novel-state-of-art-redis-malware