研究人员称为Redigo的一种新的基于Go的恶意软件一直以具有CVE-2022-0543漏洞的Redis服务器为目标,并植入一个允许命令执行的隐蔽后门。CVE-2022-0543是Redis(远程词典服务器)软件中的一个严重漏洞,威胁非常高。它于2022年2月被发现并修复。修复几个月后,攻击者继续在未打补丁的机器上利用它。针对此漏洞的恶意软件Redigo以其目标机器和构建它的编程语言命名。今天,AquaSec报告其易受CVE-2022-0543攻击的Redis蜜罐捕获了一种新的恶意软件,该恶意软件未被VirusTotal上的安全软件检测到。Redigo攻击AquaSec表示Redigo攻击从扫描端口6379开始,以定位暴露在开放网络上的Redis服务器。找到目标端点后,atacker连接并运行以下命令:INFO-检查Redis的版??本以确定服务器是否容易受到CVE-2022-0543的攻击。SLAVEOF-创建攻击服务器的副本。REPLCCONF-配置从攻击服务器到新创建的副本的连接。PSYNC-启动复制流并在服务器磁盘上下载共享库“exp_lin.so”。MODULELOAD-从下载的动态库中加载一个模块,该模块能够执行任意命令并利用CVE-2022-0543。SLAVEOFNOONE-将易受攻击的Redis服务器变成主服务器。利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。恶意软件在提升权限后执行。攻击者通过端口6379模拟正常的Redis通信以逃避网络分析工具的检测,同时试图隐藏来自Redigo命令和控制服务器的流量。由于AquaSec蜜罐的攻击时间限制,其分析师无法确定Redigo在环境中站稳脚跟后到底在做什么。AquaSec表示,Redigo的最终目标可能是将易受攻击的服务器作为机器人加入网络,进行分布式拒绝服务(DDoS)攻击,或在受感染的系统上运行加密货币矿工。此外,由于Redis是一个数据库,因此访问和窃取数据也可能是Redigo攻击的目的。参考来源:https://www.bleepingcomputer.com/news/security/new-redigo-malware-drops-stealthy-backdoor-on-redis-servers/
