新的Redis Miner Migo使用了新颖的系统弱化技术

Caro Security的研究人员观察到一场新的恶意软件活动，该活动针对Redis服务器使用名为Migo的加密矿工。该活动因使用几种针对数据存储本身的新型系统弱化技术而脱颖而出。

Migo是一个Golang ELF二进制文件，具有编译时混淆功能，还能够在Linux主机上保持持久性。

研究人员还观察到该恶意软件使用了一种流行的用户模式rootkit的新版本来逃避检测，通过隐藏进程和磁盘上的工件来做到这一点。

研究人员最初发现，在野外攻击中使用了新的“Redis系统弱化命令”，然后他们注意到这些命令被用于最近针对Redis系统的恶意软件活动中。

Cado使用的一个蜜罐受到了来自IP 103[.]79[.]118[.]221的攻击，该攻击使用Redis命令行接口（CLI）的config set功能禁用了以下配置选项：

set protected-mode;
replica-read-only;
aof-rewrite-incremental-fsync;
rdb-save-incremental-fsync;
攻击者禁用了这些选项，以便向Redis服务器发送更多命令，并允许未来的入侵逃避防御。

“禁用这些配置参数后，攻击者使用set命令设置两个单独的Redis键的值。”Cado Security发布的报告写道。“一个键被分配一个字符串值，该值对应于由恶意攻击者控制的SSH密钥，另一个键被分配一个Cron作业，该作业从Transfer.sh（Cado之前涵盖过的相对不常见的分发机制）通过Pastebin检索恶意主要有效负载。”

主要的Migo有效负载（/tmp/.migo）作为使用UPX打包的ELF文件分发，静态链接并剥离。此ELF文件可以针对x86_64架构。该样本使用标准的UPX打包，保留UPX头，并可以使用命令upx -d轻松解包。

执行时，Migo二进制文件会检查/tmp/.migo_running处是否存在文件。如果该文件不存在，恶意代码将创建它，确定自己的进程ID并将其写入文件。该文件对攻击者来说是一种感染标记。

然后，该二进制文件从GitHub下载XMRig安装程序，终止竞争矿工并建立持久性，然后启动矿工。

以下是二进制文件执行的一系列操作：

总之，它们执行以下操作：

使二进制文件的复制版本可执行，并通过持久性机制执行
禁用SELinux并搜索卸载脚本，以监视来自云提供商（如腾讯云和阿里云）的计算实例中捆绑的代理
执行矿工并将掉落的配置传递给它
配置iptables以丢弃到特定IP的出站流量
杀死来自类似活动的竞争矿工和有效负载
通过systemd计时器system-kernel.timer注册持久性
Migo表明威胁行为者有兴趣针对云基础设施进行挖矿。攻击者继续提高他们利用面向Web的服务的能力。

研究人员认为，Migo开发人员具备恶意软件分析过程的知识，他们在pclntab结构中实施了额外的措施来模糊符号和字符串，从而增加了逆向工程的难度。

原文始发于微信公众号（黑猫安全）：新的Redis Miner Migo使用了新颖的系统弱化技术