HeadCrab マルウェア

HeadCrab と呼ばれる非常にステルス性の高い新しいマルウェアがオンラインの Redis サーバーに感染し、仮想通貨 Monero をマイニングするボットネットを構築しています。 HeadCrabe マルウェアは、1,200 を超える Redis サーバーの侵害に成功しており、それを使用してさらに多くのターゲットを検索しています。 HeadCrab の背後にいる洗練された攻撃者は、非常に高度で、従来のマルウェア対策ソリューションやエージェントレス システムでは簡単に検出できないカスタムメイドのマルウェアを開発しました。 HeadCrab マルウェアと脅迫的な操作に関する詳細は、infosec 研究者によるレポートで公開されました。

HeadCrab マルウェアによって悪用される感染ベクター

このボットネットの背後にいる攻撃者は、Redis サーバーの脆弱性を悪用します。Redis サーバーは、組織のネットワーク内で内部使用するように設計されており、デフォルトでは認証がありません。管理者がサーバーを適切に保護し、インターネットからアクセスできるようにしなかった場合、偶発的または意図的に、攻撃者は脅威ツールまたはマルウェアを使用して簡単に制御を取得できます。これらの認証されていないサーバーにアクセスできるようになると、攻撃者は「SLAVEOF」コマンドを発行してサーバーを制御下のマスター サーバーと同期させ、新たにハイジャックされたシステムに HeadCrab マルウェアを展開できるようにします。

HeadCrab マルウェアの有害な機能

インストールしてアクティブ化すると、HeadCrab は標的のサーバーを乗っ取り、仮想通貨マイニング ボットネットに組み込むために必要なあらゆる機能を攻撃者に与えます。侵害されたデバイスのメモリ内で動作して、マルウェア対策スキャンをかわします。 HeadCrab マルウェアはすべてのログを消去し、オペレーターが制御する他のサーバーとのみ通信して検出を逃れます。

攻撃者は、検出を逃れ、セキュリティ ソリューションによってブロックされるリスクを最小限に抑えるために、正規の IP アドレス (主に他の汚染されたサーバー) と通信します。さらに、HeadCrab マルウェアはほとんどが Redis プロセスに基づいています。これらのプロセスは、脅迫的または疑わしいとは見なされません。ペイロードはメモリのみのファイル「memfd」を介してロードされますが、カーネル モジュールはディスクへの書き込みを回避する方法としてメモリから直接ロードされます。

HeadCrab マルウェア キャンペーンに関連する Monero クリプト ウォレット アドレスを分析したところ、攻撃者はワーカー 1 人あたり約 4,500 ドルの年間利益を上げていることが明らかになりました。見積もりが正しければ、これらの他のタイプのオペレーションで観察された典型的なワーカー 1 人あたり 200 ドルを超える劇的な増加を示しています。