速看！Redis 服務器被植入后門

被研究人員稱之為Redigo的一種基于Go的新的惡意軟件，它一直針對有CVE-2022-0543漏洞的Redis服務器并植入一個隱秘的后門允許命令執行。

CVE-2022-0543是Redis（遠程字典服務器）軟件中的一個關鍵漏洞，具有非常高的威脅性。它在2022年2月被發現并修復。修復幾個月后，仍有攻擊者繼續在未打補丁的機器上利用它。針對于此漏洞的惡意軟件的名稱Redigo則是由它的目標機器和構建它的編程語言創造的。

今天，AquaSec報告說，其易受CVE-2022-0543影響的Redis蜜罐捕獲了一個新的惡意軟件，該惡意軟件并沒有被Virus Total上的安全軟件檢測到。

AquaSec說，Redigo攻擊從6379端口的掃描開始，以定位暴露在開放網絡上的Redis服務器。找到目標端點后，atacker連接并運行以下命令:

• INFO – 檢查Redis的版本，以確定服務器是否有CVE-2022-0543的漏洞。
• SLAVEOF – 創建一個攻擊服務器的副本。
• REPLCONF – 配置從攻擊服務器到新創建副本的連接。
• PSYNC – 啟動復制流并下載服務器磁盤上的共享庫 “exp_lin.so”。
• MODULE LOAD – 從下載的動態庫中加載模塊，該模塊能夠執行任意命令并利用CVE-2022-0543。
• SLAVEOF NO ONE – 將有漏洞的Redis服務器轉變成主服務器。

利用植入后門的命令執行能力，攻擊者收集主機的硬件信息，然后下載Redigo（redis-1.2-SNAPSHOT）。該惡意軟件在升級權限后被執行。

攻擊者通過6379端口模擬正常的Redis通信，以逃避網絡分析工具的檢測，同時試圖隱藏來自Redigo的命令和控制服務器的流量。

由于AquaSec公司蜜罐的攻擊時間限制，其分析師無法確定Redigo在環境中站穩腳跟后到底做了什么。

AquaSec表示，Redigo的最終目標很可能是將易受攻擊的服務器作為機器人加入網絡，進行分布式拒絕服務（DDoS）攻擊，或者在被攻擊的系統上運行加密貨幣礦工。

此外，由于Redis是一個數據庫，訪問數據并竊取它也可能是Redigo攻擊的目的。