Redis 服务器遭恶意软件攻击

关键点

• 至少有1200台Redis数据库服务器自2021年9月以来受到恶意软件“HeadCrab”的攻击。
• 超过2800台未感染的服务器仍面临高风险。
• 该恶意软件通过内存运行，能规避传统的防病毒解决方案。
• Redis服务器默认未启用身份验证，错误安装将使其暴露于互联网。

最近，自2021年9月以来，全球至少1200台Redis数据库服务器已受到一种复杂恶意软件的攻击，而超过2800台未受感染的服务器仍面临高风险。这一恶意软件被称为“HeadCrab”，由AquaNautilus的安全研究员Asaf Eitnai和Nitzan Yaakov发现，并在公司的博客上进行了详细介绍。

“攻击者主要针对Redis服务器，并对Redis模块和API有深刻的理解和专业知识，”博客中提到。

研究人员具体发现该恶意软件能够逃避基于磁盘的扫描，因其仅在内存中运行，而不会存储在硬盘上。此外，使用Redis模块框架和API删除日志。攻击者主要与合法的IP地址进行通信，以进一步避开检测。

除了已检测到的1200台感染Redis服务器外，Aqua的威胁首席分析师Assaf Morag向SCMedia表示，另外2800台甚至可能达到43000台的服务器也处于被攻击的风险中。

“这确实是一个严重的威胁，需要进行监控和应对，”Morag警告道。

该恶意软件的最终目的是建立一个用于加密货币挖掘的僵尸网络，Eitnai补充说，它能够执行许多其他恶意活动，让攻击者能够执行shell命令、加载无文件的内核模块以及将数据外泄到远程服务器。他表示，团队还猜测攻击者可能利用SSH能力感染其他服务器。

Redis是一个开源的内存数据结构存储，可以用作数据库、缓存或消息代理。默认情况下，它未进行身份验证，并且应在封闭安全的网络中运行。然而，当用户错误安装时，它会暴露在互联网上，并成为攻击者的目标。

近几年，由于社区越来越普遍，Redis服务器遭受了。去年12月，Aqua的研究人员针对Redis服务器的隐秘后门恶意软件。而早在2020年，TeamTNT就被对脆弱的Redis服务器进行新型攻击，使用S3存储桶和web服务IPlogger作为其C2服务器。