用戶模式的??Rootkit惡意軟件Migo隱藏于Linux，利用Redis進行加密劫持

新的“Migo”惡意軟件針對Linux服務器，利用Redis進行加密劫持。使用用戶模式??Rootkit隱藏其活動，使檢測變得困難。保護您的Redi 服務器并保持警惕！

Cado安全實驗室透露，已發現針對流行數據存儲系統Redis的復雜Linux惡意軟件活動，以使用“系統弱化命令”獲得初始訪問權限。

Cado研究人員透露，這款名為Migo的惡意軟件利用Redis進行加密劫持。攻擊者在目標的Redis服務器上執行命令以禁用配置選項，并使它們在部署有效負載之前容易受到攻擊。

主要有效負載Migo是一個Golang ELF二進制文件，可從GitHub檢索XMRig安裝程序。Redis系統弱化命令用于禁用配置選項，例如保護模式和副本只讀，使用CLI命令從Pastebin等外部源執行惡意負載，以在后臺挖掘加密貨幣。

供您參考，保護模式是3.2.0版本中引入的Redis服務器操作模式，用于減輕潛在的網絡暴露。它只接受來自環回接口的連接，并且可能在初始訪問時被禁用，以允許攻擊者發送其他命令。

相反，Redis中的副本只讀功能可防止意外寫入副本，從而導致不同步。Cado研究人員報告稱，Migo攻擊者可能會利用此功能進行惡意有效負載傳輸，以便在將來利用Redis服務器時禁用此功能。

Migo使用編譯時混淆和用戶模式??rootkit“libprocesshider”來隱藏進程和工件，使安全分析師難以檢測和減輕威脅。安裝礦工后，Migo設置XMRig的配置來查詢系統信息，包括登錄用戶和資源限制。

“它還使用vm.nr_hugepages參數將系統上可用的大頁數設置為128。這些行為對于加密劫持惡意軟件來說是相當典型的，”Cado Security的安全研究員Matt Muir在一篇博客文章中指出。

它執行shell命令來復制二進制文件、禁用SELinux、識別卸載腳本、執行挖礦程序、終止競爭進程、注冊持久性以及阻止到特定IP地址和域的出站流量。

此外，Migo依賴于systemd服務和計時器來實現持久性，并且開發人員混淆了pclntab結構中的符號和字符串，使惡意軟件分析過程變得復雜。用戶模式??Rootkit的參與也使受感染主機的事后取證變得復雜，并且libprocesshider隱藏了磁盤上的偽影。

Migo的出現表明，以云為中心的攻擊者正在不斷完善他們的技術，并專注于利用面向Web的服務。研究人員得出結論，他們使用Redis系統弱化命令來禁用安全功能，這一舉動此前在利用Redis進行初始訪問的活動中未曾報道過。