?多臺Redis服務器中招！警惕來自新型惡意軟件HeadCrab的威脅

據The Hacker News 2月2日消息，自 2021 年 9 月以來，全球至少有 1200 臺 Redis 數據庫服務器被一個名為 HeadCrab 的惡意軟件攻擊，并且利用這些受感染的服務器在線掃描更多目標。

Aqua的安全研究員在2日發布的一份報告中表示，該攻擊旨在針對暴露的 Redis 服務器，然后從另一臺已經處于攻擊者控制之下的 Redis 服務器發出SLAVEOF 命令，以實現服務器同步，將惡意負載下載到新感染的服務器，其中就包含 HeadCrab 惡意軟件。研究員指出，惡意軟件的 Redis 模塊和 API 方面表現出背后的開發者具有過硬的技術能力。

這種高級威脅的攻擊者利用了一種最先進的定制惡意軟件，能夠逃避無代理和傳統的防病毒解決方案的檢測。攻擊還會刪除所有日志，并且只會與攻擊者所控制的其他合法 IP 地址（主要是其他受感染的服務器）通信。在分析惡意軟件時，研究員還發現攻擊者主要使用托管在先前受損服務器上的礦池來使歸因和檢測復雜化。

據悉，Redis 服務器默認不啟用身份驗證，因為它們被設計為在組織內網使用，而不是暴露到外網，但攻擊者恰恰利用了這一點，如果服務器管理員無意將它們配置為可從外部網絡訪問，攻擊者可以使用惡意工具或軟件輕松破壞并劫持。

雖然惡意軟件的最終目標是劫持系統資源以進行加密貨幣挖掘，但也具備其他功能，如允許攻擊者執行 Shell 命令、加載無文件內核模塊并將數據泄露到遠程服務器。

截至目前，中國、馬來西亞、印度、德國、英國和美國已記錄到大量感染，攻擊者的來歷也尚未明確。為此，專家建議用戶不要將 Redis 服務器直接暴露在互聯網上。在不使用的情況下，要在其環境中禁用SLAVEOF功能，并將服務器配置為僅接受來自受信任主機的連接。