포스팅 내용

국내외 보안동향

75%의 Redis 서버들, 악성코드 감염 돼

Around 75% of Open Redis Servers Are Infected With Malware


Imperva의 대변인이 대부분의 Redis 서버가 인증 시스템 없이 인터넷에 오픈 되어있어, 악성코드가 숨어있는 것으로 보인다고 밝혔습니다.


전문가들은 지난 몇 달 간 Redis 기반의 허니팟 서버를 운영해본 뒤 이 같은 결론을 내렸습니다.


그들은 허니팟 서버를 통해 온라인에 노출 된 오픈 Redis 서버에서 은밀하게 가상화폐를 채굴하는 봇넷인 ReddisWannaMine을 발견했습니다.



SSH키 재사용을 통해 봇넷 작전 밝혀내


가장 일반적인 패턴은, 공격자가 손상 된 Redis 서버에 SSH키를 계속 설치해 나중에도 접근이 가능하도록 하는 것입니다.


연구원들은 “서로 다른 공격자들이 동일한 키나 값을 사용해 공격을 실행하는 것을 발견했습니다. 다수의 서버들 사이에서 공유 된 키나 값은, 악성 봇넷 활동의 분명한 증거입니다.”고 밝혔습니다.


전문가들은 허니팟을 통해 수집한 SSH키를 사용해, 이 키가 존재하는지 확인하기 위해 온라인에 노출 된 Redis 서버들 모두를 스캔했습니다.



테스트 된 Redis의 서버의 75%가 손상된 것으로 나타나


72,000대 이상의 Redis 서버가 온라인에 노출 되어 있으며, 이들 중 10,000대 이상이 스캔 요청에 에러 없이 응답해 연구원들이 로컬에 설치 된 SSH키를 확인할 수 있었습니다.


전문가들은 이 서버의 75%가 악성 봇넷 작전과 관련있는 것으로 알려진 SSH 키를 사용하고 있었다고 밝혔습니다.


허니팟 데이터에서 가장 많이 발견 된 악성 SSH키들

<출처: https://www.incapsula.com/blog/report-75-of-open-redis-servers-are-infected.html>



일부 악성 SSH 키들, 2년 동안 활성화 되어있어


위 리스트의 키들 중 “crackit” SSH 키는 알려진 공격자들에 의해 수년 간 사용되어 온 것으로 나타났습니다.

이 악성 키는 지난 2016년 7월 6,338개의 Redis 서버들에서 발견 되었습니다.


1개월 후, 동일한 키는 13,000대 이상의 Redis서버에서 발견 되었습니다. 이들은 2비트코인을 요구하는 가짜 랜섬 노트를 보여주기 위해 해킹 된 것으로 나타났습니다.


그리고 며칠 후, 다른 연구원들에 의해 동일한 Redis 서버들이 FairWare 랜섬웨어를 호스팅 및 배포하는데 사용 되었다는 사실도 발견 되었습니다.


Redis 서버 공격의 배후에 있는 공격자들은 오픈 되어있는 Redis 서버를 집중적으로 스캔하고, 배포 후 수분 이내로 기기를 해킹할 수 있는 것으로 알려져 있습니다.



Redis 서버들, 기본적으로 안전하지 않아


서버 관리자들은 서버의 구성 파일을 수정해 인증 시스템을 활성화 해야 합니다.


연구원들은 “Redis는 인증이 디폴트로 설정 되어 있지 않으며, 모든 데이터가 텍스트 형태로 저장 되기 때문에 절대 공개적으로 노출 되어서는 안됩니다.”고 밝혔습니다.


현재 알악에서는 해당 악성코드에 대하여 Misc.Riskware.BitCoinMiner.Linux로 탐지중에 있습니다. 



출처 : 

https://www.bleepingcomputer.com/news/security/around-75-percent-of-open-redis-servers-are-infected-with-malware/

https://www.incapsula.com/blog/report-75-of-open-redis-servers-are-infected.html



티스토리 방명록 작성
name password homepage