Redisに来るMigo

RedisはRemote Dictionary Serverです。
ネットワーク接続された永続化可能なインメモリデータベースで、データがメモリ上に保存されるため、ハードディスクとメモリ間の行き来をする必要がなく高速にデータを処理することができます。
では、Migoはなんでしょう。
Migoは暗号資産マイナーです。
Redisの稼働する機器がターゲットとなっています。
どのように動くのでしょうか。

• ターゲット
  Redisが動作しているLinux機器が標的となっています。

   

• Redis機の設定変更
  攻撃の初期段階で、脅威アクターはRedisの設定を調整します。
  攻撃の実施や維持を可能とするための設定変更です。

   

• sshキーの追加
  脅威アクターの持つsshキーをシステムに追加します。
  これ以降は、sshの鍵認証が可能な状態となります。

   

• マルウェア取り込み機構の追加
  Pastebinからマルウェアを取り込む機能の実装されたスクリプトをcronに仕掛けます。

   

• マルウェアの展開
  使用されるマルウェアは、Migoです。
  MigoはGoで記述されてELFバイナリとしてコンパイルされた後、デバック情報をストリップしたものとなっています。
  これをUPXでパックして配布されます。
  UPXは加工されたものではなく一般のものとなっていますので、アンパックは通常のUPXで可能です。

   

• Migoによるマイナーの設置
  Migo自身は、マイナーではありません。
  MigoはXMRigのインストーラーを入手し、XMRigを設置します。
  マイナーの永続化を実施したり、競合する他のマイナーを排除するような機構が搭載されています。
  ユーザーモードルートキットの機能も搭載し、マルウェアに関連するファイルの存在を隠ぺいすることもできます。

Migoは、以下のRedis機の設定変更を実施します。

• プロテクトモードの無効化
• レプリカ読み取り専用機能の無効化
• aof-rewrite-incremental-fsyncの無効化
• rdb-save-incremental-fsyncの無効化

これらの設定により脅威アクターはRedisを将来の侵入の防御を回避できるようにしました。

システムの運用を継続していく中で、問題の修正された新しいバージョンを利用できているかということだけでなく、あるべき設定で利用できているかという点も重要です。
利用開始時の妥当な設定の検討だけでなく、設定が意図せず変化してしまっていないかを監視するという視点も重要なのですね。

参考記事（外部リンク）：Migo – a Redis Miner with Novel System Weakening
Techniques
www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/