Redisは、Remote Dictionary Serverの略語で、key-value構造の非定形データを保存・管理するための非リレーショナルデータベース管理システムです。非構造化データとは固定された構成の原則がなく、フィルタリングされていない原始データ(raw data)で、ウェブ・ログ、XML、JSON、イメージ、テキスト文書、オーディオおよびビデオファイル等、多様な形式が含まれます。
Redisは非同期レプリケーションを支援し、複数のサーバーに同じデータのコピーを維持できるという長所を持っています。これによって、主なサーバーに障害が発生する場合、いろんなサーバーにリクエストが分散され、向上した読み取りや早い復旧が可能になるので、多くの使用者らが利用しているシステムです。
漏洩されたRedisサーバー 、コイン採掘悪性コードを配布している
本投稿では攻撃者が認証設定が不十分なRedisサービスが実行されているサーバーにアクセスし、Bitcoin Minerでサーバーを感染させる事例について説明します。
まず、外部から漏洩されたRedis Productを確認するため、次の通りCriminal IPのIT資産検索で 「product: redis」 キーワードを検索すると、総26,373個の漏洩されたRedisサーバーについて情報を得られます。
Search Query: “product: redis”
国家ごとに見ると、最も多く漏洩されたRedisシステムを使用している国は中国で、日本は9番目で多く漏洩されたRedisシステムを使用していることが明らかになりました。
認証が不十分な状態で 漏洩されたRedisサーバー
redis_cli [target_ip]で活性化されたRedisサービスにアクセスする際、認証装置が揃っている所なら、次のような文句が出力されます。
“[ERROR] NOAUTH Authentication required”
![「[ERROR] NOAUTH Authentication required」文句が出力される安全なRedisサーバー](https://i0.wp.com/blog.criminalip.io/wp-content/uploads/2022/11/노출된-Redis-서버_3.png?w=1200&ssl=1)
しかし、認証装置が設定されていない場合、下の画像のように別の認証過程を通さず、直接アクセスができ、「keys *」を通じて漏洩されるデータを確認できます。
モネロコイン採掘悪性コードに感染した 漏洩されたRedisサーバー
該当サーバーの特定データにアクセスしてみると、次のように「cleanfda」で続く怪しいパターンが共通的に発見されました。
Criminal IP ドメイン検索で上記ドメインの詳細情報を検索してみたところ、該当ドメインに bash shell scriptで組まれたscriptがあることが確認されました。
該当URLにアクセスしてこのbash shell scriptをもっと詳しく見ると、このサーバーでモネロコイン採掘スクリプトが実行されていることが確認されました。
Redisサーバーハッキング予防のチェックリスト
運営しているRedisサーバーがコイン採掘に悪用されないよう防ぐために、セキュリティ担当者は次のようにセキュリティ設定を行う必要があります。
- DockerでRedisサービスをバインディングする際、Default IPの使用を禁止する(0.0.0.0ではなく127.0.0.1)
- ファイアウォール設定を確認し、非正常的なアクセスをするIPはブロックすると共に、認証された使用者がホワイトリストIPになっているか点検 する
- Criminal IPを通じて保有しているRedisサーバーが漏洩されているのではないかと、認証装置が欠落していないかを定期的に点検する
関連しては 漏洩されたRedis Commanderを検知するSearch tipの投稿と暗号通貨採掘悪性コードについての分析の投稿をご参照ください。
データの提供 : Criminal IP(https://www.criminalip.io/)
ご参照 :
