被研究人員稱之為Redigo的一種基于Go的新的惡意軟件，它一直針對有CVE-2022-0543漏洞的Redis服務(wù)器并植入一個(gè)隱秘的后門允許命令執(zhí)行。

CVE-2022-0543是Redis（遠(yuǎn)程字典服務(wù)器）軟件中的一個(gè)關(guān)鍵漏洞，具有非常高的威脅性。它在2022年2月被發(fā)現(xiàn)并修復(fù)。修復(fù)幾個(gè)月后，仍有攻擊者繼續(xù)在未打補(bǔ)丁的機(jī)器上利用它。針對于此漏洞的惡意軟件的名稱Redigo則是由它的目標(biāo)機(jī)器和構(gòu)建它的編程語言創(chuàng)造的。

今天，AquaSec報(bào)告說，其易受CVE-2022-0543影響的Redis蜜罐捕獲了一個(gè)新的惡意軟件，該惡意軟件并沒有被Virus Total上的安全軟件檢測到。

Redigo攻擊

AquaSec說，Redigo攻擊從6379端口的掃描開始，以定位暴露在開放網(wǎng)絡(luò)上的Redis服務(wù)器。找到目標(biāo)端點(diǎn)后，atacker連接并運(yùn)行以下命令:

INFO - 檢查Redis的版本，以確定服務(wù)器是否有CVE-2022-0543的漏洞。SLAVEOF - 創(chuàng)建一個(gè)攻擊服務(wù)器的副本。REPLCONF - 配置從攻擊服務(wù)器到新創(chuàng)建副本的連接。PSYNC - 啟動復(fù)制流并下載服務(wù)器磁盤上的共享庫 "exp_lin.so"。MODULE LOAD - 從下載的動態(tài)庫中加載模塊，該模塊能夠執(zhí)行任意命令并利用CVE-2022-0543。SLAVEOF NO ONE - 將有漏洞的Redis服務(wù)器轉(zhuǎn)變成主服務(wù)器。

利用植入后門的命令執(zhí)行能力，攻擊者收集主機(jī)的硬件信息，然后下載Redigo（redis-1.2-SNAPSHOT）。該惡意軟件在升級權(quán)限后被執(zhí)行。

攻擊者通過6379端口模擬正常的Redis通信，以逃避網(wǎng)絡(luò)分析工具的檢測，同時(shí)試圖隱藏來自Redigo的命令和控制服務(wù)器的流量。

由于AquaSec公司蜜罐的攻擊時(shí)間限制，其分析師無法確定Redigo在環(huán)境中站穩(wěn)腳跟后到底做了什么。

AquaSec表示，Redigo的最終目標(biāo)很可能是將易受攻擊的服務(wù)器作為機(jī)器人加入網(wǎng)絡(luò)，進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊，或者在被攻擊的系統(tǒng)上運(yùn)行加密貨幣礦工。

此外，由于Redis是一個(gè)數(shù)據(jù)庫，訪問數(shù)據(jù)并竊取它也可能是Redigo攻擊的目的。

參考來源：https://www.bleepingcomputer.com/news/security/new-redigo-malware-drops-stealthy-backdoor-on-redis-servers/