Le malware HeadCrab vient d’infecter au moins 1 200 serveurs, découvert pour la première fois par les chercheurs d’Aqua Security Nitzan Yaakov et Asaf Eitani.
Dernièrement, les chercheurs d’Aqua Nautilus ont mis à jour une nouvelle menace insaisissable et redoutable. Celle-ci s’infiltre et réside sur les serveurs du monde entier. Connu sous le nom de HeadCrab, cet acteur de menace avancé utilise un logiciel malveillant de pointe. Indétectable par des solutions antivirus sans agent et traditionnelles il peut compromettre un grand nombre de serveurs Redis.
Le botnet HeadCrab a pris le contrôle d’au moins 1 200 serveurs
Un nouveau malware est apparu en première ligne, ciblant les serveurs Redis en ligne. L’objectif principal du malware est de créer un botnet pour les opérations d’extraction de cryptomonnaie Monero(XMR).
Jusqu’à présent, le logiciel malveillant a infecté au moins 1 200 serveurs Redis en ligne. Les acteurs de la menace pourraient utiliser ces serveurs infectés pour rechercher de nouvelles cibles et se propager davantage.
Qu’est-ce que Redis ?
Redis est un magasin de structure de données en mémoire open source. Il s’utilise comme base de données, cache ou courtier de messages. Par défaut, les serveurs Redis n’ont pas d’authentification activée et sont censés fonctionner sur un réseau sécurisé et fermé plutôt que d’être exposés à Internet. Cela rend les serveurs Redis par défaut accessibles depuis Internet vulnérables aux accès non autorisés et à l’exécution de commandes.
L’une des commandes Redis par défaut est SLAVEOF, qui désigne un serveur comme serveur esclave pour un autre serveur Redis du cluster. Lorsqu’un serveur est défini comme esclave, il se synchronise avec le serveur maître, y compris en téléchargeant tous les modules Redis présents dans le maître.
Les serveurs Redis se destinent à une utilisation au sein du réseau d’une entreprise.
Si les administrateurs configurent les serveurs Redis pour les rendre accessibles via un réseau externe, cela pourrait permettre aux attaquants de compromettre et éventuellement de détourner ces serveurs, en les ajoutant au botnet.
Lorsqu’ils utilisent le malware HeadCrab sur ces serveurs Redis, les acteurs de la menace comptent sur eux pour ne pas activer l’authentification par défaut. Une fois que les pirates ont accès aux serveurs Redis, ils émettent une commande « slaveof » pour se connecter à un serveur maître contrôlé par l’attaquant et installer le logiciel malveillant HeadCrab sur le système infecté.
Comment le logiciel malveillant infecte-t-il les serveurs?
Selon les chercheurs, le malware HeadCrab reste indétectable par les solutions antivirus traditionnelles sans agent. Ce qui lui permet de compromettre furtivement de nombreux serveurs Redis.
La plupart des logiciels malveillants sont construits sur des processus Redis. Ainsi, il ne sont pas susceptibles de se voir signalés comme malveillants. Les modules du noyau, chargés directement à partir de la mémoire, évitent les écritures sur disque. De plus, les charges utiles sont chargées, via memfd, des fichiers en mémoire uniquement.
HeadCrab Malware échappe à la détection
Les attaquants ont toutes les capacités pour acquérir le contrôle complet du serveur ciblé. De cette façon, il peuvent l’ajouter à leur botnet de crypto minage après l’installation et le lancement. De plus, il fonctionnera en mémoire sur les appareils infectés pour éviter les analyses anti-malware. Les échantillons examinés n’ont renvoyé aucun résultat sur VirusTotal.
Pour éviter une détection, l’attaquant communique avec des adresses IP légitimes. Il supprime également tous les journaux et ne communique qu’avec d’autres serveurs sous le contrôle de ses maîtres. Pour rendre l’attribution et la détection plus difficiles, les chercheurs ont découvert que les attaquants utilisent principalement des pools de minage hébergés sur des serveurs précédemment compromis.
Le portefeuille Monero associé à ce botnet a également révélé que les attaquants gagnent environ 4 500 dollars par travailleur par an. Ce qui est nettement supérieur aux 200 dollars typiques par travailleur dans des attaques comparables.
Recommandations concernant le nouveau malware HeadCrab
Les administrateurs devront sécuriser leurs serveurs Redis en limitant l’accès aux seuls clients de leur réseau. Plus précisément, en désactivant la fonction slaveof si cela n’est pas nécessaire. Par ailleurs, il faut activer le mode protégé. Celui-ci définit l’instance pour n’accepter que les connexions de l’adresse de bouclage et rejeter les connexions des autres adresses IP.
