基于Go语言的恶意软件通过Redis配置滥用向Linux主机部署XMRig挖矿程序

网络安全研究人员近日发现针对公开Redis服务器的新型Linux加密货币挖矿攻击活动,该活动被Datadog安全实验室命名为RedisRaider

攻击手法分析

安全研究人员Matt Muir与Frederic Baguelin指出:"RedisRaider会主动扫描随机IPv4地址段,利用合法的Redis配置命令在易受攻击系统上执行恶意定时任务(cron jobs)"。攻击最终会投放基于Go语言编写的主载荷,用于在受感染系统部署XMRig挖矿程序。

攻击者首先使用定制扫描器识别互联网上公开的Redis服务器,然后发送INFO命令确认实例是否运行在Linux主机。确认目标后,扫描算法会滥用Redis的SET命令注入定时任务。

载荷传播机制

恶意软件随后使用CONFIG命令将Redis工作目录更改为"/etc/cron.d",并写入名为"apache"的数据库文件。该文件会被定时任务调度器定期执行,运行Base64编码的Shell脚本,从远程服务器下载RedisRaider二进制文件。

该载荷实质上是定制版XMRig的投放器,同时会将恶意软件传播到其他Redis实例,有效扩大攻击范围。"除了服务器端加密货币劫持,RedisRaider的基础设施还托管基于Web的Monero挖矿程序,形成多管齐下的盈利策略。"研究人员表示。

反取证技术

"该攻击活动采用精妙的反取证措施,如设置短密钥生存时间(TTL)和修改数据库配置,以降低检测概率并阻碍事后分析。"

相关威胁动态

此事件披露之际,Guardz曝光了利用Microsoft Entra ID旧版认证协议实施定向攻击的活动细节。2025年3月18日至4月7日期间,攻击者利用BAV2ROPC("基础认证第二版-资源所有者密码凭证"缩写)绕过多因素认证(MFA)和条件访问等防御措施。

Guardz安全研究主管Elli Shlomo表示:"追踪调查显示,攻击者系统性地利用了BAV2ROPC固有的设计缺陷,这些缺陷早于现代安全架构。幕后黑手展现出对身份认证系统的深刻理解。"

攻击特征分析

攻击主要源自东欧和亚太地区,重点针对使用旧版认证端点的管理员账户。"虽然普通用户收到50,214次认证尝试,但管理员账户和共享邮箱呈现特定攻击模式------432个IP在8小时内对管理员账户发起9,847次尝试,平均每个IP尝试22.79次,攻击频率达每小时1,230.87次。"

"这表明这是高度自动化、针对特权账户的集中攻击,同时保持对普通用户的广泛攻击面。"

历史背景与防御建议

这并非旧版协议首次被恶意利用。2021年微软曾披露大规模商业邮件入侵(BEC)活动,攻击者使用BAV2ROPC和IMAP/POP3绕过MFA窃取邮件数据。

为降低此类攻击风险,建议通过条件访问策略阻止旧版认证、禁用BAV2ROPC,如无必要应关闭Exchange Online中的SMTP AUTH功能。

相关推荐
坐吃山猪29 分钟前
Redis03-缓存知识点
redis·缓存
学历真的很重要1 小时前
Claude Code 万字斜杠命令指南
后端·语言模型·面试·职场和发展·golang·ai编程
雪饼android之路1 小时前
【Android】 android suspend/resume总结(3)
android·linux
老黄编程1 小时前
ubuntu如何查看一个内核模块被什么模块依赖(内核模块信息常用命令)?
linux·运维·ubuntu
知北游天2 小时前
Linux网络:使用UDP实现网络通信(服务端&&客户端)
linux·网络·udp
半桔2 小时前
【网络编程】TCP 粘包处理:手动序列化反序列化与报头封装的完整方案
linux·网络·c++·网络协议·tcp/ip
<但凡.2 小时前
Linux 修炼:进程控制(一)
linux·运维·服务器·bash
✎﹏赤子·墨筱晗♪3 小时前
Ansible Playbook 入门指南:从基础到实战
linux·服务器·ansible
会跑的葫芦怪3 小时前
Go语言net/http库使用详解
http·golang·iphone
乌萨奇也要立志学C++4 小时前
【Linux】进程概念(六):进程地址空间深度解析:虚拟地址与内存管理的奥秘
linux·运维