基于Go语言的恶意软件通过Redis配置滥用向Linux主机部署XMRig挖矿程序

网络安全研究人员近日发现针对公开Redis服务器的新型Linux加密货币挖矿攻击活动,该活动被Datadog安全实验室命名为RedisRaider

攻击手法分析

安全研究人员Matt Muir与Frederic Baguelin指出:"RedisRaider会主动扫描随机IPv4地址段,利用合法的Redis配置命令在易受攻击系统上执行恶意定时任务(cron jobs)"。攻击最终会投放基于Go语言编写的主载荷,用于在受感染系统部署XMRig挖矿程序。

攻击者首先使用定制扫描器识别互联网上公开的Redis服务器,然后发送INFO命令确认实例是否运行在Linux主机。确认目标后,扫描算法会滥用Redis的SET命令注入定时任务。

载荷传播机制

恶意软件随后使用CONFIG命令将Redis工作目录更改为"/etc/cron.d",并写入名为"apache"的数据库文件。该文件会被定时任务调度器定期执行,运行Base64编码的Shell脚本,从远程服务器下载RedisRaider二进制文件。

该载荷实质上是定制版XMRig的投放器,同时会将恶意软件传播到其他Redis实例,有效扩大攻击范围。"除了服务器端加密货币劫持,RedisRaider的基础设施还托管基于Web的Monero挖矿程序,形成多管齐下的盈利策略。"研究人员表示。

反取证技术

"该攻击活动采用精妙的反取证措施,如设置短密钥生存时间(TTL)和修改数据库配置,以降低检测概率并阻碍事后分析。"

相关威胁动态

此事件披露之际,Guardz曝光了利用Microsoft Entra ID旧版认证协议实施定向攻击的活动细节。2025年3月18日至4月7日期间,攻击者利用BAV2ROPC("基础认证第二版-资源所有者密码凭证"缩写)绕过多因素认证(MFA)和条件访问等防御措施。

Guardz安全研究主管Elli Shlomo表示:"追踪调查显示,攻击者系统性地利用了BAV2ROPC固有的设计缺陷,这些缺陷早于现代安全架构。幕后黑手展现出对身份认证系统的深刻理解。"

攻击特征分析

攻击主要源自东欧和亚太地区,重点针对使用旧版认证端点的管理员账户。"虽然普通用户收到50,214次认证尝试,但管理员账户和共享邮箱呈现特定攻击模式------432个IP在8小时内对管理员账户发起9,847次尝试,平均每个IP尝试22.79次,攻击频率达每小时1,230.87次。"

"这表明这是高度自动化、针对特权账户的集中攻击,同时保持对普通用户的广泛攻击面。"

历史背景与防御建议

这并非旧版协议首次被恶意利用。2021年微软曾披露大规模商业邮件入侵(BEC)活动,攻击者使用BAV2ROPC和IMAP/POP3绕过MFA窃取邮件数据。

为降低此类攻击风险,建议通过条件访问策略阻止旧版认证、禁用BAV2ROPC,如无必要应关闭Exchange Online中的SMTP AUTH功能。

相关推荐
天空'之城7 小时前
Linux 系统编程 22:五种 IO 模型全解
linux
小张成长计划..8 小时前
【Linux】10:冯·诺依曼体系结构和操作系统
linux·运维·服务器
栈溢出了10 小时前
Redis 分片集群与哈希槽笔记
java·redis·笔记·spring
悦儿遥遥雨111 小时前
PXE + Kickstart 无人值守批量部署系统
linux·javascript·nginx
Imagine Miracle12 小时前
【WSL】让WSL2后台持久运行不自动关闭的解决方案
linux·windows·wsl
兔C12 小时前
Linux 命令行入门学习资料 day_2
linux·运维·服务器
eggcode13 小时前
Linux命令基础与操作技巧
linux
Lihua奏13 小时前
Redis:它不只是缓存,还是高并发系统的工具箱
redis
二宝哥13 小时前
VMware Workstation 实战:CentOS 7.9 安装、桥接网络配置与克隆管理详解
linux·centos·vmware
AutumnWind042014 小时前
【4种打开Ubuntu(WSL)的方法】
linux·ubuntu